Компания Ростелеком-Solar, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, провела первое в России исследование защищенности мобильных приложений для заказа еды.

Сервисы для заказа еды становятся все более популярными. Рынок доставки еды из ресторанов стремительно перетекает из оффлайна в онлайн. По прогнозам экспертов, рост онлайн-компоненты этого рынка составит не менее 20% в год*.

«Как любые мобильные приложения, сервисы для заказа еды могут содержать уязвимости. В данном случае риски связаны с тем, что приложения оперируют конфиденциальными данными пользователей. В первую очередь – реквизитами их банковских карт. Наличие уязвимостей в программном коде приложений может привести к утечке этих данных. После недавнего скандала с приложением Burger King, которое якобы ведет непрерывную видеозапись экрана, в том числе процесса ввода реквизитов банковской карты, мы решили проверить защищенность мобильных приложений для заказа еды», – говорит Даниил Чернов, руководитель направления Solar inCode компании Ростелеком-Solar.

Анализ безопасности кода выполнялся автоматически с помощью Solar inCode. Решение использует методы статического, динамического и интерактивного анализа и работает без доступа к исходному коду. По итогам анализа программа формирует отчет, где приводится список обнаруженных уязвимостей и дается общая оценка защищенности приложения.

Для участия в исследовании были выбраны популярные мобильные приложения для заказа еды – «Макдоналдс», Subway Russia, KFC, Burger King, «Тануки», «Доминос Пицца», «Папа Джонс», «Шоколадница», Pizza Hut, «Додо Пицца», Суши Wok, «СушиВёсла», «Почетный Гость», Black Star Burger, Starbucks, «Якитория», «Чайхона №1». Большинство приложений рассматривались в вариантах для мобильных операционных систем iOS и Android. Исключение составили Subway Russia (только версия для Android) и «Чайхона №1» (только версия для iOS).

При подготовке исследования декомпиляция и деобфускация приложений не производилась. Статический анализ осуществлялся в отношении бинарного кода.

Практически все Android-приложения содержат те или иные ошибки в реализации шифрования и передачи данных – небезопасный алгоритм дополнения, «пустой метод», когда проверяются не все поля сертификата и т.д. Более чем в половине проверенных приложений есть недекларированная возможность. Наконец, очень часто встречается незащищенное хранение паролей.

Явного лидера по уровню защищенности среди Android-приложений выделить не удалось – первое место поделили Black Star Burger, Pizza Hut и KFC, с минимальным отрывом к ним примкнуло «СушиВёсла». Количество уязвимостей среднего уровня у них примерно такое же, как и у конкурентов, но за счет отсутствия известных критических уязвимостей перечисленные приложения более безопасны с точки зрения защиты пользовательских данных.

«Доминос Пицца» также не содержит известных критических уязвимостей, но высокое число вхождений уязвимостей среднего уровня не позволило ему занять более высокое место в рейтинге безопасных приложений. Приложения «Шоколадница» и «Додо Пицца». «Папа Джонс», «Почетный Гость», Суши Wok, «Тануки», Burger King, Subway Russia и Starbucks находятся примерно одном уровне защищенности и демонстрируют результат выше среднего по отрасли.

Приложения «Якитория» и «Макдоналдс» содержат в исходном коде более 5 вхождений критических уязвимостей, поэтому их уровень защищенности нельзя назвать удовлетворительным.

Приложения под iOS демонстрируют низкий уровень защищенности – в основном за счет высокого числа вхождений уязвимостей среднего уровня. Также нет ни одного приложения, в котором не встречалось бы критических уязвимостей.

Практически все приложения под iOS имеют слабый алгоритм хеширования, около трети – слабый алгоритм шифрования. В большинстве исследуемых приложений обнаружились такие потенциальные уязвимости, как использование метода openURL, использование NSLog и использование буфера обмена.

Наиболее высокий уровень защищенности среди iOS-приложений продемонстрировали «Тануки», Starbucks и «Шоколадница». Количество критических и среднего уровня уязвимостей в остальных приложениях не позволяет назвать их уровень защищенности удовлетворительным.


*Forbes. Онлайн-еда: сервисы доставки набирают популярность и капитализацию.


ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

«Солар» запустил облачное решение по анализу Open Source для команд IT-разработки и стартапов

«Солар» запустил облачное решение по анализу Open Source для команд IT-разработки и стартапов

Узнать больше
Единое управление для всех NGFW: «Солар» упрощает защиту распределенных корпоративных сетей

Единое управление для всех NGFW: «Солар» упрощает защиту распределенных корпоративных сетей

Узнать больше
Метод «Солара»: готовим аналитиков SOC к реальным вызовам кибербезопасности

Метод «Солара»: готовим аналитиков SOC к реальным вызовам кибербезопасности

Узнать больше
Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Узнать больше
Новая линейка ПАК Solar NGFW: защита уровня enterprise для корпораций и МСБ в самых атакуемых отраслях

Новая линейка ПАК Solar NGFW: защита уровня enterprise для корпораций и МСБ в самых атакуемых отраслях

Узнать больше
ГК «Солар»: число уязвимостей в веб-приложениях во II квартале выросло почти на 60%

ГК «Солар»: число уязвимостей в веб-приложениях во II квартале выросло почти на 60%

Узнать больше
Во время ЕГЭ на 30% выросло число вредоносных ресурсов, нацеленных на школьников

Во время ЕГЭ на 30% выросло число вредоносных ресурсов, нацеленных на школьников

Узнать больше
От почты до мессенджеров: комплексная защита данных на базе обновлённой версии Solar Dozor 8.1

От почты до мессенджеров: комплексная защита данных на базе обновлённой версии Solar Dozor 8.1

Узнать больше
Как ИТ-специалисту перейти в кибербезопасность

Как ИТ-специалисту перейти в кибербезопасность

Узнать больше
Solar Dozor интегрируется с «МойОфис Документы Онлайн» для защиты данных

Solar Dozor интегрируется с «МойОфис Документы Онлайн» для защиты данных

Узнать больше