Компания Ростелеком-Solar, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, провела первое в России исследование защищенности мобильных приложений для заказа еды.

Сервисы для заказа еды становятся все более популярными. Рынок доставки еды из ресторанов стремительно перетекает из оффлайна в онлайн. По прогнозам экспертов, рост онлайн-компоненты этого рынка составит не менее 20% в год*.

«Как любые мобильные приложения, сервисы для заказа еды могут содержать уязвимости. В данном случае риски связаны с тем, что приложения оперируют конфиденциальными данными пользователей. В первую очередь — реквизитами их банковских карт. Наличие уязвимостей в программном коде приложений может привести к утечке этих данных. После недавнего скандала с приложением Burger King, которое якобы ведет непрерывную видеозапись экрана, в том числе процесса ввода реквизитов банковской карты, мы решили проверить защищенность мобильных приложений для заказа еды», — говорит Даниил Чернов, руководитель направления Solar inCode компании Ростелеком-Solar.

Анализ безопасности кода выполнялся автоматически с помощью Solar inCode. Решение использует методы статического, динамического и интерактивного анализа и работает без доступа к исходному коду. По итогам анализа программа формирует отчет, где приводится список обнаруженных уязвимостей и дается общая оценка защищенности приложения.

Для участия в исследовании были выбраны популярные мобильные приложения для заказа еды — «Макдоналдс», Subway Russia, KFC, Burger King, «Тануки», «Доминос Пицца», «Папа Джонс», «Шоколадница», Pizza Hut, «Додо Пицца», Суши Wok, «СушиВёсла», «Почетный Гость», Black Star Burger, Starbucks, «Якитория», «Чайхона № 1». Большинство приложений рассматривались в вариантах для мобильных операционных систем iOS и Android. Исключение составили Subway Russia (только версия для Android) и «Чайхона № 1» (только версия для iOS).

При подготовке исследования декомпиляция и деобфускация приложений не производилась. Статический анализ осуществлялся в отношении бинарного кода.

Практически все Android-приложения содержат те или иные ошибки в реализации шифрования и передачи данных — небезопасный алгоритм дополнения, «пустой метод», когда проверяются не все поля сертификата и т.д. Более чем в половине проверенных приложений есть недекларированная возможность. Наконец, очень часто встречается незащищенное хранение паролей.

Явного лидера по уровню защищенности среди Android-приложений выделить не удалось — первое место поделили Black Star Burger, Pizza Hut и KFC, с минимальным отрывом к ним примкнуло «СушиВёсла». Количество уязвимостей среднего уровня у них примерно такое же, как и у конкурентов, но за счет отсутствия известных критических уязвимостей перечисленные приложения более безопасны с точки зрения защиты пользовательских данных.

«Доминос Пицца» также не содержит известных критических уязвимостей, но высокое число вхождений уязвимостей среднего уровня не позволило ему занять более высокое место в рейтинге безопасных приложений. Приложения «Шоколадница» и «Додо Пицца». «Папа Джонс», «Почетный Гость», Суши Wok, «Тануки», Burger King, Subway Russia и Starbucks находятся примерно одном уровне защищенности и демонстрируют результат выше среднего по отрасли.

Приложения «Якитория» и «Макдоналдс» содержат в исходном коде более 5 вхождений критических уязвимостей, поэтому их уровень защищенности нельзя назвать удовлетворительным.

Приложения под iOS демонстрируют низкий уровень защищенности — в основном за счет высокого числа вхождений уязвимостей среднего уровня. Также нет ни одного приложения, в котором не встречалось бы критических уязвимостей.

Практически все приложения под iOS имеют слабый алгоритм хеширования, около трети — слабый алгоритм шифрования. В большинстве исследуемых приложений обнаружились такие потенциальные уязвимости, как использование метода openURL, использование NSLog и использование буфера обмена.

Наиболее высокий уровень защищенности среди iOS-приложений продемонстрировали «Тануки», Starbucks и «Шоколадница». Количество критических и среднего уровня уязвимостей в остальных приложениях не позволяет назвать их уровень защищенности удовлетворительным.


*Forbes. Онлайн-еда: сервисы доставки набирают популярность и капитализацию.


ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Корпоративная почта под новой защитой: SEG-T и «Солар» создают барьер от хакеров и индустрии фишинга

Корпоративная почта под новой защитой: SEG-T и «Солар» создают барьер от хакеров и индустрии фишинга

Узнать больше
УЦСБ и ГК «Солар»: 50,5% российских компаний подозревают или фиксируют утечки данных через ИИ-инструменты

УЦСБ и ГК «Солар»: 50,5% российских компаний подозревают или фиксируют утечки данных через ИИ-инструменты

Узнать больше
Большая кража денег и учетных записей: как мошенники обманывают россиян с предзаказом игры GTA VI

Большая кража денег и учетных записей: как мошенники обманывают россиян с предзаказом игры GTA VI

Узнать больше
«Делимобиль» обеспечивает защиту данных и повышает киберграмотность сотрудников на базе решений «Солара»  и собственной разработки

«Делимобиль» обеспечивает защиту данных и повышает киберграмотность сотрудников на базе решений «Солара» и собственной разработки

Узнать больше
АО «НТЦ ИТ РОСА» и «Солар» защищают работу привилегированных пользователей в виртуальной среде

АО «НТЦ ИТ РОСА» и «Солар» защищают работу привилегированных пользователей в виртуальной среде

Узнать больше
Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

Узнать больше
«Солар» и ShiftLeft Security объявили об интеграции решений  по безопасной разработке

«Солар» и ShiftLeft Security объявили об интеграции решений по безопасной разработке

Узнать больше
Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Узнать больше
«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

Узнать больше
Безопасность на скорости кода: ИИ-триаж и кодфикс в Solar appScreener 3.16 в 10 раз увеличивают емкость команды AppSec

Безопасность на скорости кода: ИИ-триаж и кодфикс в Solar appScreener 3.16 в 10 раз увеличивают емкость команды AppSec

Узнать больше