Ростелеком-Solar представила исследование защищенности приложений для покупки одежды - управление и мониторинг ИБ Solar Security
15.03.2019

Ростелеком-Solar представила исследование защищенности приложений для покупки одежды

к списку новостей

Компания Ростелеком-Solar, национальный провайдер решений и сервисов в области кибербезопасности, представила первое исследование уровня защищенности мобильных приложений для покупки одежды. В исследованных мобильных приложениях 10 торговых марок обнаружен ряд критических уязвимостей, которые потенциально могут привести к утрате конфиденциальности обрабатываемых приложениями данных, в том числе информации платежных карт и паролей от учетных записей пользователей.

Популярность сервисов для покупки одежды через мобильные приложения с каждым годом набирает обороты. По оценкам экспертов аналитического агентства Data Insight, за первые 3 квартала 2018 года онлайн-ретейлеры одежды и обуви практически половину своей прибыли (47%) получили из мобильных приложений. Соответственно, защищенность этих приложений становится все более серьезным вопросом, поскольку пользователи доверяют им данные банковских карт.

Даниил Чернов, руководитель направления Solar appScreener компании Ростелеком-Solar, отмечает: «Значимость защищенности мобильных приложений ретейлеров трудно переоценить, ведь они оперируют платежными данными, компрометация и утечка которых способна нанести колоссальный финансовый ущерб пользователям и репутационный – бренду. В связи с ежегодным всплеском покупательской активности в начале марта мы посчитали необходимым проверить уровень защищенности мобильных приложений для покупки одежды».

Для сравнения уровня защищенности были выбраны популярные мобильные приложения для покупки одежды – MANGO, ASOS, SHEIN, bonprix, Wildberries, H&M, KUPIVIP, Bershka, Joom и Lamoda. Все приложения рассматривались в вариантах для мобильных операционных систем iOS (Apple) и Android.

Более чем в 85% Android-приложений, имеющих критические уязвимости, содержится уязвимость, используя которую, злоумышленник может нарушить конфиденциальность соединения и получить доступ к такой информации, как, например, данные банковских карт пользователя. 9 из 10-ти приложений для ОС Android потенциально допускают внутреннюю утечку детальной информации о конфигурации системы, которая может быть использована внутренним злоумышленником для разработки плана атаки.

Самыми защищенными Android-версиями приложений для покупки одежды признаны MANGO, ASOS и SHEIN. Они не содержат ни одной критической уязвимости. За ними следуют приложения bonprix, Wildberries, H&M, KUPIVIP и Bershka. Они находятся примерно на одном уровне защищенности и демонстрируют результат выше среднего по отрасли. Меньше всего баллов за уровень защищенности получили приложения Joom и Lamoda, в каждом из которых критические уязвимости встречаются 5 раз. Итоговый результат этих приложений – 2.2 балла из 5, что, впрочем, примерно соответствует среднему показателю по рынку.

Интересно, что среди iOS-версий исследованных приложений нет ни одного, удовлетворяющего хотя бы среднему по отрасли показателю уровня защищенности. Каждое из исследованных iOS-приложений содержит критические уязвимости. Кроме того, частота их обнаружения в коде на один-два порядка выше, чем в версиях для Android. Наименьшее количество уязвимостей содержат iOS-приложения торговых марок bonprix, Wildberries, ASOS и Bershka.

Все исследованные iOS-приложения для покупки одежды используют устаревшие хеш-функции (например, MD5 или SHA-1), которые не обеспечивают достаточно стойкого шифрования. Хотя эксплуатация этой уязвимости является непростой задачей, схемы атак хорошо известны, а в случае успеха злоумышленник может получить доступ к аккаунту пользователя. Кроме того, каждое из этих приложений содержит уязвимости, ведущие к тому, что внешний или внутренний злоумышленник может получить избыточную информацию об устройстве приложения и с помощью данной информации спланировать атаку.

Анализ безопасности кода осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме.

ДРУГИЕ НОВОСТИ

Ростелеком-Solar представила исследование защищенности приложений для покупки одежды 15.03.2019
Ростелеком-Solar представила исследование защищенности приложений для покупки одежды
В исследованных мобильных приложениях 10 торговых марок обнаружен ряд критических уязвимостей, которые потенциально могут привести к утрате конфиденциальности обрабатываемых приложениями данных, в том числе информации платежных карт и паролей от учетных записей пользователей. ...
Машиностроительный завод "ЗиО-Подольск" выбрал Solar Dozor для защиты от утечек конфиденциальной информации 13.03.2019
Машиностроительный завод "ЗиО-Подольск" выбрал Solar Dozor для защиты от утечек конфиденциальной информации
Машиностроительный завод "ЗиО-Подольск" отмечает высокий уровень реализации функционала системы обнаружения и предотвращения утечки конфиденциальной информации Solar Dozor 6. ...
«Ростелеком» предложил ульяновскому деловому сообществу защиту от киберугроз 05.03.2019
«Ростелеком» предложил ульяновскому деловому сообществу защиту от киберугроз
«Ростелеком» презентовал решения для обеспечения информационной безопасности представителям органов власти и бизнеса Ульяновска ...
Указан неверный адрес подписки.

Первыми получайте новости о наших продуктах на свой e-mail.

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах