Специалисты по кибербезопасности фиксируют крайне высокий уровень проблем в мобильном ПО. В отраслевых исследованиях доля приложений с теми или иными уязвимостями доходит до 99%. Чаще всего речь идёт о небезопасной работе с пользовательскими данными, ошибках проверки входных параметров, слабой защите сессий и неправильной настройке серверной части.
Эксперты отмечают, что мобильные приложения давно перестали быть «тонким клиентом». Сегодня внутри одного APK или IPA часто находятся системы аналитики, рекламные SDK, платёжные модули, облачные API и сторонние библиотеки. Каждая интеграция добавляет новую поверхность атаки.
Одной из самых распространённых проблем остаётся хранение критически важных данных прямо внутри приложения. Исследователи указывают на случаи, когда в коде оставляют ключи API, токены, адреса серверов, служебные учётные данные и параметры доступа к облачной инфраструктуре. При декомпиляции такие данные нередко извлекаются за минуты.
Серьёзную долю рисков формирует Android-экосистема. Исследования ESET еще несколько лет назад показывали, что до 99% мобильного вредоносного ПО ориентировано именно на Android-устройства. Причина — огромная доля рынка, фрагментация устройств и медленные обновления безопасности. До 90% устройств длительное время остаются без актуальных патчей.
Проблема давно вышла за пределы «сомнительных приложений». Аналитики мобильной безопасности регулярно находят уязвимости в банковском ПО, корпоративных сервисах, маркетплейсах, мессенджерах и медицинских приложениях. В ряде случаев утечки затрагивают персональные данные, геолокацию, токены авторизации и историю действий пользователей.
Отдельный риск создают сторонние SDK — встроенные библиотеки рекламы, аналитики и push-уведомлений. Разработчики часто обновляют собственный код, но забывают про зависимости. В результате уязвимость внутри одного SDK автоматически появляется сразу в тысячах приложений.
Исследователи мобильной безопасности также отмечают рост атак через API мобильных приложений. Хакеры всё чаще работают не с интерфейсом программы, а напрямую с backend-сервисами: перебирают идентификаторы пользователей, обходят авторизацию и получают доступ к данным через ошибки логики. OWASP Mobile Top 10 уже несколько лет относит небезопасные API и слабую защиту данных к главным угрозам мобильной разработки.
Проблем добавляет скорость выпуска обновлений. Во многих компаниях релизы выходят еженедельно, а иногда ежедневно. Проверка безопасности часто становится формальностью: приложение тестируют на функциональность, но не на устойчивость к атакам.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
