Ростелеком-Solar представила исследование защищенности приложений для покупки одежды

Компания Ростелеком-Solar, национальный провайдер решений и сервисов в области кибербезопасности, представила первое исследование уровня защищенности мобильных приложений для покупки одежды. В исследованных мобильных приложениях 10 торговых марок обнаружен ряд критических уязвимостей, которые потенциально могут привести к утрате конфиденциальности обрабатываемых приложениями данных, в том числе информации платежных карт и паролей от учетных записей пользователей.

Популярность сервисов для покупки одежды через мобильные приложения с каждым годом набирает обороты. По оценкам экспертов аналитического агентства Data Insight, за первые 3 квартала 2018 года онлайн-ретейлеры одежды и обуви практически половину своей прибыли (47%) получили из мобильных приложений. Соответственно, защищенность этих приложений становится все более серьезным вопросом, поскольку пользователи доверяют им данные банковских карт.

Даниил Чернов, руководитель направления Solar appScreener компании Ростелеком-Solar, отмечает: «Значимость защищенности мобильных приложений ретейлеров трудно переоценить, ведь они оперируют платежными данными, компрометация и утечка которых способна нанести колоссальный финансовый ущерб пользователям и репутационный – бренду. В связи с ежегодным всплеском покупательской активности в начале марта мы посчитали необходимым проверить уровень защищенности мобильных приложений для покупки одежды».

Для сравнения уровня защищенности были выбраны популярные мобильные приложения для покупки одежды – MANGO, ASOS, SHEIN, bonprix, Wildberries, H&M, KUPIVIP, Bershka, Joom и Lamoda. Все приложения рассматривались в вариантах для мобильных операционных систем iOS (Apple) и Android.

Более чем в 85% Android-приложений, имеющих критические уязвимости, содержится уязвимость, используя которую, злоумышленник может нарушить конфиденциальность соединения и получить доступ к такой информации, как, например, данные банковских карт пользователя. 9 из 10-ти приложений для ОС Android потенциально допускают внутреннюю утечку детальной информации о конфигурации системы, которая может быть использована внутренним злоумышленником для разработки плана атаки.

Самыми защищенными Android-версиями приложений для покупки одежды признаны MANGO, ASOS и SHEIN. Они не содержат ни одной критической уязвимости. За ними следуют приложения bonprix, Wildberries, H&M, KUPIVIP и Bershka. Они находятся примерно на одном уровне защищенности и демонстрируют результат выше среднего по отрасли. Меньше всего баллов за уровень защищенности получили приложения Joom и Lamoda, в каждом из которых критические уязвимости встречаются 5 раз. Итоговый результат этих приложений – 2.2 балла из 5, что, впрочем, примерно соответствует среднему показателю по рынку.

Интересно, что среди iOS-версий исследованных приложений нет ни одного, удовлетворяющего хотя бы среднему по отрасли показателю уровня защищенности. Каждое из исследованных iOS-приложений содержит критические уязвимости. Кроме того, частота их обнаружения в коде на один-два порядка выше, чем в версиях для Android. Наименьшее количество уязвимостей содержат iOS-приложения торговых марок bonprix, Wildberries, ASOS и Bershka.

Все исследованные iOS-приложения для покупки одежды используют устаревшие хеш-функции (например, MD5 или SHA-1), которые не обеспечивают достаточно стойкого шифрования. Хотя эксплуатация этой уязвимости является непростой задачей, схемы атак хорошо известны, а в случае успеха злоумышленник может получить доступ к аккаунту пользователя. Кроме того, каждое из этих приложений содержит уязвимости, ведущие к тому, что внешний или внутренний злоумышленник может получить избыточную информацию об устройстве приложения и с помощью данной информации спланировать атаку.

Анализ безопасности кода осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме.