Компания AppSec Solutions с помощью системы AppSec.Sting протестировала 87 самых популярных мобильных приложений категории «Образование» из российских и зарубежных магазинов приложений: сервисы для репетиторов, самоучители по иностранным языкам, электронные дневники и учебники.
Эксперты обнаружили около 2,5 тысяч уязвимостей, из них 1065 (43%) — высокого и критического уровня риска. По сравнению с аналогичным исследованием годом ранее общее число уязвимостей выросло на 41% (с 1773 до 2500), а количество дефектов высокого и критического уровня — на 56% (с 683 до 1065). Доля критических находок в выборке также увеличилась: с 39% до 43%.
«Образовательные приложения — одна из самых востребованных категорий, особенно в период экзаменов. При этом часть разработчиков не встраивает регулярную проверку безопасности в релизный цикл: безопасности на этапе разработки уделяется недостаточно внимания, а обновления выходят без должного контроля. Рост доли критических уязвимостей это подтверждает», — рассказал Никита Пинаев, руководитель продукта AppSec.Sting компании AppSec Solutions.
Самая распространённая критическая уязвимость в исследованных приложениях — хранение чувствительных данных в коде приложения. Речь о паролях, токенах, ключах шифрования и параметрах тестовой среды — сведениях, которые могут использоваться для атак как на пользователей, так и на инфраструктуру сервиса.
Ещё одна частая уязвимость высокого уровня — ArbitraryActivityStart, запуск произвольных Activity (внутренних экранов приложения). Она позволяет злоумышленнику обращаться к закрытым компонентам приложения напрямую — например, чтобы изменить настройки. Это может привести к утечке данных и потере контроля над аккаунтом пользователя.
Также во многих образовательных приложениях встречается уязвимость «Отсутствие проверки на подключение отладчика». Её эксплуатация позволяет подключать к приложению дополнительные инструменты, получать доступ к его коду и в дальнейшем — взламывать само приложение.
Компания AppSec Solutions, российский разработчик решений для кибербезопасности, выпустила крупное обновление платформы анализа защищённости мобильных приложений AppSec.Sting. Платформа полностью переведена с монолитной на микросервисную архитектуру на базе Kubernetes и получила переработанный подход к анализу: расширено покрытие SCA с интеграцией в AppSec.Track, обновлён динамический анализ под iOS, полностью обновлен пользовательский интерфейс. Таким образом, AppSec.Sting повышает пропускную способность и отказоустойчивость для клиентов, что ускоряет сканирование и снижает затраты на вычислительные ресурсы — в облаке и в инфраструктуре заказчика.
Возврат к списку