Компания Ростелеком-Solar ко Дню защиты детей провела исследование уязвимостей популярных мобильных игровых приложений для детей. Анализ 14-ти игровых приложений показал, что обнаруженные в приложениях уязвимости могут привести к полной утрате конфиденциальности пользовательских данных, включая платежные данные.

Игровая индустрия ежегодно демонстрирует завидную стабильность роста. По данным отчета мирового лидера в области игровой аналитики Newzoo, в 2018 году объём глобального рынка мобильных игровых приложений достиг 63,2 миллиарда долларов США, что на 12,8% больше, чем в 2017. По прогнозам Newzoo, отечественный рынок по итогам 2018 года принесет игровикам 1,7 млрд долларов, а Россия займет 11 место среди топ-20 стран по объему игрового рынка.

Большинство мобильных игр содержат платные опции, весьма востребованные у аудитории. Многие пользователи готовы платить за те или иные игровые преимущества, и в первую очередь – дети. Однако в случае, если приложение не безопасно, персональные и платежные данные игроков могут стать добычей киберпреступников.

«Уязвимости мобильных приложений – один из наиболее часто используемых каналов, который используется злоумышленниками для получения доступа к пользовательским данным. И несмотря на то, что для этого исследования были отобраны лишь бесплатные мобильные игры, однако большинство из них содержат встроенные покупки, а значит, работают с платежными данными пользователей. Их компрометация открывает злоумышленникам прямой доступ к деньгам маленьких игроков, а точнее – их родителей», – отмечает Даниил Чернов, руководитель направления Solar-appScreener Ростелеком-Solar.

Компания Ростелеком-Solar провела сравнительное исследование защищенности следующих популярных мобильных игровых приложений для детей: 3D Лабиринт, Angry Birds 2, Asterix and Friends, Cut the Rope, Disney Crossy Road, Dragons: Rise of Berk, LEGO® NINJAGO®: Ride Ninja, Minion Rush: «Гадкий Я», «Лунтик: Детские игры», «Маша и Медведь: Игры для Детей», «Ми-ми-мишки», «Смешарики. Крош», «Таинственные дела Скуби-Ду», «Три Кота Пикник». Для анализа были отобраны игровые приложения из категории «Семейные», согласно критерию популярности: количеству скачиваний в App Store и Google Play, а также позиции в рейтингах популярных мобильных игр для детей. Все приложения рассматривались в вариантах для мобильных операционных систем iOS и Android.

Более чем в 80% Android-приложений, содержащих критические уязвимости, ключ шифрования задан в исходном коде, что открывает злоумышленникам доступ к содержащимся в приложении данным. А более половины Android-приложений, содержащих критические уязвимости, могут привести к полной утрате конфиденциальности пользовательских данных.

Самыми защищенными Android-версиями мобильных игровых приложений для детей являются: «Три Кота Пикник» (DevGame OU), «Маша и Медведь: Игры для Детей» (Hippo Games for Kids) и «Таинственные дела Скуби-Ду» (Warner Bros). Их общий уровень защищенности равен 4.6, 4.6 и 4.1 балла соответственно из 5-ти возможных. Наиболее уязвимым приложением признана игра Disney Crossy Road (Disney) – 0.9 балла из 5.0.

Исследованные игры на базе iOS отличаются значительно более низкой степенью защищенности по сравнению с Android-аналогами. Лишь одному приложению – LEGO® NINJAGO®: Ride Ninja (LEGO System A/S) – удалось продемонстрировать уровень защищенности в 2.6 балла из 5-ти, что является показателем чуть выше среднего по отрасли. Защищенность остальных 13-ти приложений вызывает серьезные опасения экспертов. Наименее защищенными играми под iOS признаны «Три Кота Пикник» (DevGame OU) и «Маша и Медведь: Игры для Детей» (Indigo Kids) – их общий уровень защищенности, согласно методике оценки Solar appScreener, равен 0.0 балла.

Все исследованные игровые приложения на базе iOS подвержены критической уязвимости «слабый алгоритм хеширования», потенциально ведущей к компрометации пользовательских данных. Кроме того, все iOS-приложения содержат уязвимости, которыми злоумышленник может воспользоваться для выполнения вредоносного кода на смартфоне или осуществления атаки на приложение.

Анализ безопасности кода осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Продвинутый интеллект для средств защиты: «Солар» запускает подписку на правила выявления киберугроз

Продвинутый интеллект для средств защиты: «Солар» запускает подписку на правила выявления киберугроз

Узнать больше
«Солар» запустил облачное решение по анализу Open Source для команд IT-разработки и стартапов

«Солар» запустил облачное решение по анализу Open Source для команд IT-разработки и стартапов

Узнать больше
Единое управление для всех NGFW: «Солар» упрощает защиту распределенных корпоративных сетей

Единое управление для всех NGFW: «Солар» упрощает защиту распределенных корпоративных сетей

Узнать больше
Метод «Солара»: готовим аналитиков SOC к реальным вызовам кибербезопасности

Метод «Солара»: готовим аналитиков SOC к реальным вызовам кибербезопасности

Узнать больше
Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Узнать больше
Новая линейка ПАК Solar NGFW: защита уровня enterprise для корпораций и МСБ в самых атакуемых отраслях

Новая линейка ПАК Solar NGFW: защита уровня enterprise для корпораций и МСБ в самых атакуемых отраслях

Узнать больше
ГК «Солар»: число уязвимостей в веб-приложениях во II квартале выросло почти на 60%

ГК «Солар»: число уязвимостей в веб-приложениях во II квартале выросло почти на 60%

Узнать больше
Во время ЕГЭ на 30% выросло число вредоносных ресурсов, нацеленных на школьников

Во время ЕГЭ на 30% выросло число вредоносных ресурсов, нацеленных на школьников

Узнать больше
От почты до мессенджеров: комплексная защита данных на базе обновлённой версии Solar Dozor 8.1

От почты до мессенджеров: комплексная защита данных на базе обновлённой версии Solar Dozor 8.1

Узнать больше
Как ИТ-специалисту перейти в кибербезопасность

Как ИТ-специалисту перейти в кибербезопасность

Узнать больше