Ростелеком-Solar проверила надежность приложений для заказа еды - управление и мониторинг ИБ Solar Security
26.07.2018

Ростелеком-Solar проверила надежность приложений для заказа еды

к списку новостей

Компания Ростелеком-Solar, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, провела первое в России исследование защищенности мобильных приложений для заказа еды.

Сервисы для заказа еды становятся все более популярными. Рынок доставки еды из ресторанов стремительно перетекает из оффлайна в онлайн. По прогнозам экспертов, рост онлайн-компоненты этого рынка составит не менее 20% в год*.

«Как любые мобильные приложения, сервисы для заказа еды могут содержать уязвимости. В данном случае риски связаны с тем, что приложения оперируют конфиденциальными данными пользователей. В первую очередь – реквизитами их банковских карт. Наличие уязвимостей в программном коде приложений может привести к утечке этих данных. После недавнего скандала с приложением Burger King, которое якобы ведет непрерывную видеозапись экрана, в том числе процесса ввода реквизитов банковской карты, мы решили проверить защищенность мобильных приложений для заказа еды», – говорит Даниил Чернов, руководитель направления Solar inCode компании Ростелеком-Solar.

Анализ безопасности кода выполнялся автоматически с помощью Solar inCode. Решение использует методы статического, динамического и интерактивного анализа и работает без доступа к исходному коду. По итогам анализа программа формирует отчет, где приводится список обнаруженных уязвимостей и дается общая оценка защищенности приложения.

Для участия в исследовании были выбраны популярные мобильные приложения для заказа еды – «Макдоналдс», Subway Russia, KFC, Burger King, «Тануки», «Доминос Пицца», «Папа Джонс», «Шоколадница», Pizza Hut, «Додо Пицца», Суши Wok, «СушиВёсла», «Почетный Гость», Black Star Burger, Starbucks, «Якитория», «Чайхона №1». Большинство приложений рассматривались в вариантах для мобильных операционных систем iOS и Android. Исключение составили Subway Russia (только версия для Android) и «Чайхона №1» (только версия для iOS).

При подготовке исследования декомпиляция и деобфускация приложений не производилась. Статический анализ осуществлялся в отношении бинарного кода.

Практически все Android-приложения содержат те или иные ошибки в реализации шифрования и передачи данных – небезопасный алгоритм дополнения, «пустой метод», когда проверяются не все поля сертификата и т.д. Более чем в половине проверенных приложений есть недекларированная возможность. Наконец, очень часто встречается незащищенное хранение паролей.

Явного лидера по уровню защищенности среди Android-приложений выделить не удалось – первое место поделили Black Star Burger, Pizza Hut и KFC, с минимальным отрывом к ним примкнуло «СушиВёсла». Количество уязвимостей среднего уровня у них примерно такое же, как и у конкурентов, но за счет отсутствия известных критических уязвимостей перечисленные приложения более безопасны с точки зрения защиты пользовательских данных.

«Доминос Пицца» также не содержит известных критических уязвимостей, но высокое число вхождений уязвимостей среднего уровня не позволило ему занять более высокое место в рейтинге безопасных приложений. Приложения «Шоколадница» и «Додо Пицца». «Папа Джонс», «Почетный Гость», Суши Wok, «Тануки», Burger King, Subway Russia и Starbucks находятся примерно одном уровне защищенности и демонстрируют результат выше среднего по отрасли.

Приложения «Якитория» и «Макдоналдс» содержат в исходном коде более 5 вхождений критических уязвимостей, поэтому их уровень защищенности нельзя назвать удовлетворительным.

Приложения под iOS демонстрируют низкий уровень защищенности – в основном за счет высокого числа вхождений уязвимостей среднего уровня. Также нет ни одного приложения, в котором не встречалось бы критических уязвимостей.

Практически все приложения под iOS имеют слабый алгоритм хеширования, около трети – слабый алгоритм шифрования. В большинстве исследуемых приложений обнаружились такие потенциальные уязвимости, как использование метода openURL, использование NSLog и использование буфера обмена.

Наиболее высокий уровень защищенности среди iOS-приложений продемонстрировали «Тануки», Starbucks и «Шоколадница». Количество критических и среднего уровня уязвимостей в остальных приложениях не позволяет назвать их уровень защищенности удовлетворительным.


*Forbes. Онлайн-еда: сервисы доставки набирают популярность и капитализацию.

ДРУГИЕ НОВОСТИ

Новая версия Solar appScreener 3.1 стала мировым лидером по количеству поддерживаемых языков программирования 11.04.2019
Новая версия Solar appScreener 3.1 стала мировым лидером по количеству поддерживаемых языков программирования
Вышла новая версия анализатора защищенности приложений Solar appScreener 3.1. Система поддерживает 26 языков программирования ...
Южнокорейский ИБ-регулятор выбрал Solar appScreener для повышения защищенности своих разработок и сервисов 04.04.2019
Южнокорейский ИБ-регулятор выбрал Solar appScreener для повышения защищенности своих разработок и сервисов
Компания Ростелеком-Solar выиграла конкурс на поставку анализатора защищенности приложений Solar appScreener в Korea Internet&Security Agency (KISA). ...
ДИТ Смоленской области защитился от веб-угроз с помощью Dozor Web Proxy 01.04.2019
ДИТ Смоленской области защитился от веб-угроз с помощью Dozor Web Proxy
ДИТ Смоленской области решил задачу организации централизованного защищенного доступа в Интернет с использованием нескольких различных механизмов аутентификации пользователей и фильтрации содержимого информационного обмена. Техническим решением стало внедрение прокси-сервера Dozor Web Proxy. ...
Указан неверный адрес подписки.

Первыми получайте новости о наших продуктах на свой e-mail.

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах