Опасные игры: мобильные игровые приложения для детей содержат критические уязвимости

Компания Ростелеком-Solar ко Дню защиты детей провела исследование уязвимостей популярных мобильных игровых приложений для детей. Анализ 14-ти игровых приложений показал, что обнаруженные в приложениях уязвимости могут привести к полной утрате конфиденциальности пользовательских данных, включая платежные данные.

Игровая индустрия ежегодно демонстрирует завидную стабильность роста. По данным отчета мирового лидера в области игровой аналитики Newzoo, в 2018 году объём глобального рынка мобильных игровых приложений достиг 63,2 миллиарда долларов США, что на 12,8% больше, чем в 2017. По прогнозам Newzoo, отечественный рынок по итогам 2018 года принесет игровикам 1,7 млрд долларов, а Россия займет 11 место среди топ-20 стран по объему игрового рынка.

Большинство мобильных игр содержат платные опции, весьма востребованные у аудитории. Многие пользователи готовы платить за те или иные игровые преимущества, и в первую очередь – дети. Однако в случае, если приложение не безопасно, персональные и платежные данные игроков могут стать добычей киберпреступников.

«Уязвимости мобильных приложений – один из наиболее часто используемых каналов, который используется злоумышленниками для получения доступа к пользовательским данным. И несмотря на то, что для этого исследования были отобраны лишь бесплатные мобильные игры, однако большинство из них содержат встроенные покупки, а значит, работают с платежными данными пользователей. Их компрометация открывает злоумышленникам прямой доступ к деньгам маленьких игроков, а точнее – их родителей», – отмечает Даниил Чернов, руководитель направления Solar-appScreener Ростелеком-Solar.

Компания Ростелеком-Solar провела сравнительное исследование защищенности следующих популярных мобильных игровых приложений для детей: 3D Лабиринт, Angry Birds 2, Asterix and Friends, Cut the Rope, Disney Crossy Road, Dragons: Rise of Berk, LEGO® NINJAGO®: Ride Ninja, Minion Rush: «Гадкий Я», «Лунтик: Детские игры», «Маша и Медведь: Игры для Детей», «Ми-ми-мишки», «Смешарики. Крош», «Таинственные дела Скуби-Ду», «Три Кота Пикник». Для анализа были отобраны игровые приложения из категории «Семейные», согласно критерию популярности: количеству скачиваний в App Store и Google Play, а также позиции в рейтингах популярных мобильных игр для детей. Все приложения рассматривались в вариантах для мобильных операционных систем iOS и Android.

Более чем в 80% Android-приложений, содержащих критические уязвимости, ключ шифрования задан в исходном коде, что открывает злоумышленникам доступ к содержащимся в приложении данным. А более половины Android-приложений, содержащих критические уязвимости, могут привести к полной утрате конфиденциальности пользовательских данных.

Самыми защищенными Android-версиями мобильных игровых приложений для детей являются: «Три Кота Пикник» (DevGame OU), «Маша и Медведь: Игры для Детей» (Hippo Games for Kids) и «Таинственные дела Скуби-Ду» (Warner Bros). Их общий уровень защищенности равен 4.6, 4.6 и 4.1 балла соответственно из 5-ти возможных. Наиболее уязвимым приложением признана игра Disney Crossy Road (Disney) – 0.9 балла из 5.0.

Исследованные игры на базе iOS отличаются значительно более низкой степенью защищенности по сравнению с Android-аналогами. Лишь одному приложению – LEGO® NINJAGO®: Ride Ninja (LEGO System A/S) – удалось продемонстрировать уровень защищенности в 2.6 балла из 5-ти, что является показателем чуть выше среднего по отрасли. Защищенность остальных 13-ти приложений вызывает серьезные опасения экспертов. Наименее защищенными играми под iOS признаны «Три Кота Пикник» (DevGame OU) и «Маша и Медведь: Игры для Детей» (Indigo Kids) – их общий уровень защищенности, согласно методике оценки Solar appScreener, равен 0.0 балла.

Все исследованные игровые приложения на базе iOS подвержены критической уязвимости «слабый алгоритм хеширования», потенциально ведущей к компрометации пользовательских данных. Кроме того, все iOS-приложения содержат уязвимости, которыми злоумышленник может воспользоваться для выполнения вредоносного кода на смартфоне или осуществления атаки на приложение.

Анализ безопасности кода осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме.