Ростелеком-Solar представила исследование защищенности приложений для покупки одежды - управление и мониторинг ИБ Solar Security
15.03.2019

Ростелеком-Solar представила исследование защищенности приложений для покупки одежды

к списку новостей

Компания Ростелеком-Solar, национальный провайдер решений и сервисов в области кибербезопасности, представила первое исследование уровня защищенности мобильных приложений для покупки одежды. В исследованных мобильных приложениях 10 торговых марок обнаружен ряд критических уязвимостей, которые потенциально могут привести к утрате конфиденциальности обрабатываемых приложениями данных, в том числе информации платежных карт и паролей от учетных записей пользователей.

Популярность сервисов для покупки одежды через мобильные приложения с каждым годом набирает обороты. По оценкам экспертов аналитического агентства Data Insight, за первые 3 квартала 2018 года онлайн-ретейлеры одежды и обуви практически половину своей прибыли (47%) получили из мобильных приложений. Соответственно, защищенность этих приложений становится все более серьезным вопросом, поскольку пользователи доверяют им данные банковских карт.

Даниил Чернов, руководитель направления Solar appScreener компании Ростелеком-Solar, отмечает: «Значимость защищенности мобильных приложений ретейлеров трудно переоценить, ведь они оперируют платежными данными, компрометация и утечка которых способна нанести колоссальный финансовый ущерб пользователям и репутационный – бренду. В связи с ежегодным всплеском покупательской активности в начале марта мы посчитали необходимым проверить уровень защищенности мобильных приложений для покупки одежды».

Для сравнения уровня защищенности были выбраны популярные мобильные приложения для покупки одежды – MANGO, ASOS, SHEIN, bonprix, Wildberries, H&M, KUPIVIP, Bershka, Joom и Lamoda. Все приложения рассматривались в вариантах для мобильных операционных систем iOS (Apple) и Android.

Более чем в 85% Android-приложений, имеющих критические уязвимости, содержится уязвимость, используя которую, злоумышленник может нарушить конфиденциальность соединения и получить доступ к такой информации, как, например, данные банковских карт пользователя. 9 из 10-ти приложений для ОС Android потенциально допускают внутреннюю утечку детальной информации о конфигурации системы, которая может быть использована внутренним злоумышленником для разработки плана атаки.

Самыми защищенными Android-версиями приложений для покупки одежды признаны MANGO, ASOS и SHEIN. Они не содержат ни одной критической уязвимости. За ними следуют приложения bonprix, Wildberries, H&M, KUPIVIP и Bershka. Они находятся примерно на одном уровне защищенности и демонстрируют результат выше среднего по отрасли. Меньше всего баллов за уровень защищенности получили приложения Joom и Lamoda, в каждом из которых критические уязвимости встречаются 5 раз. Итоговый результат этих приложений – 2.2 балла из 5, что, впрочем, примерно соответствует среднему показателю по рынку.

Интересно, что среди iOS-версий исследованных приложений нет ни одного, удовлетворяющего хотя бы среднему по отрасли показателю уровня защищенности. Каждое из исследованных iOS-приложений содержит критические уязвимости. Кроме того, частота их обнаружения в коде на один-два порядка выше, чем в версиях для Android. Наименьшее количество уязвимостей содержат iOS-приложения торговых марок bonprix, Wildberries, ASOS и Bershka.

Все исследованные iOS-приложения для покупки одежды используют устаревшие хеш-функции (например, MD5 или SHA-1), которые не обеспечивают достаточно стойкого шифрования. Хотя эксплуатация этой уязвимости является непростой задачей, схемы атак хорошо известны, а в случае успеха злоумышленник может получить доступ к аккаунту пользователя. Кроме того, каждое из этих приложений содержит уязвимости, ведущие к тому, что внешний или внутренний злоумышленник может получить избыточную информацию об устройстве приложения и с помощью данной информации спланировать атаку.

Анализ безопасности кода осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме.

ДРУГИЕ НОВОСТИ

Эксперты российских ИТ-компаний предложили кадровые решения для кибербезопасности 28.11.2019
Эксперты российских ИТ-компаний предложили кадровые решения для кибербезопасности

28 ноября, в канун Международного дня защиты информации, эксперты российских ИТ-компаний и государственного сектора обсудили вопросы противодействия кибератакам, развития технологий информационной безопасности и подготовки кадров для отрасли. Экспертная встреча «Кибербезопасность столицы: кадры, нормы, технологии» состоялась в преддверии Недели Российского интернета (RIW-2019) и прошла в центре мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком».

...
Solar appScreener повысит безопасность приложений Банка ЗЕНИТ 27.11.2019
Solar appScreener повысит безопасность приложений Банка ЗЕНИТ
Банк ЗЕНИТ взял на вооружение анализатор защищенности приложений Solar appScreener ...
Подведены итоги образовательной смены по кибербезопасности для учащихся Хабаровского края 20.11.2019
Подведены итоги образовательной смены по кибербезопасности для учащихся Хабаровского края

Завершилась смена по кибербезопасности #Облако27, проводившаяся на базе образовательного центра «Созвездие». Двухнедельное обучение было организовано Тихоокеанским государственным университетом при поддержке Министерства информационных технологий и связи Хабаровского края, Министерства образования и науки Хабаровского края, а также копании «Ростелеком-Солар».


...

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах