Компания «Ростелеком-Солар» к «бархатному сезону» провела сравнительное исследование защищенности двенадцати популярных мобильных приложений знакомств: Tinder, Badoo, LovePlanet, Mamba, Фотострана, Topface, ДругВокруг, MyFriends, Galaxy, Знакомства@mail.ru, Teamo и Hitwe. Приложения для анализа были отобраны согласно критерию популярности: количеству скачиваний в Google Play и App Store, а также позиции в различных рейтингах сайтов знакомств. Все приложения рассматривались в вариантах для мобильных операционных систем iOS и Android.
С каждым годом сервисы онлайн-знакомств становятся все более привлекательными как для целевой аудитории, так и для инвесторов. По данным аналитика японского холдинга Nomura Instinet Марка Келли, к 2020 году объём мирового рынка онлайн-знакомств вырастет до $12 млрд. Портал statista.com оценил объем российского рынка онлайн-знакомств в 2017 году в $66 млн. При этом актуальным рыночным трендом был назван переход аудитории на мобильные приложения, доля которых к концу 2018 года, по мнению аналитиков, достигла 60%.
Неожиданно, по результатам автоматизированного анализа, в Android-версии приложения Знакомства@mail.ru, которое позиционируется создателями как лидер российского рынка сервисов знакомств, была обнаружена высококритичная уязвимость, входящая в международный рейтинг наиболее критичных уязвимостей «OWASP Mobile Top 10 2016». В случае ее успешной эксплуатации злоумышленник может получить доступ к учетной записи пользователя приложения и, соответственно, ко всей незашифрованной информации, которое приложение передает на сервер. Эта и другие уязвимости не позволили Знакомства@mail.ru подняться выше предпоследнего места в списке по уровню защищенности среди приложений с количеством установок более 5 млн (8 из 12-ти исследованных приложений).
«Благодаря уязвимости этого класса хакер может стать обладателем логина и пароля пользователя, с их помощью войти в приложение и получить доступ к переписке, видео и аудио-контенту, которым владелец аккаунта обменивался со своими знакомыми в приложении. Этот контент может стать компроматом на любого человека, по той или иной причине заинтересовавшего злоумышленника. Эту информацию могут выложить в сеть, как было в случае со скандально известным сайтом знакомств Ashley Madison. Наконец, пользователи часто ленятся запоминать разные логины и пароли и используют одну и ту же связку и для аккаунта в приложении знакомств, и, например, для доступа в онлайн-банк. Что, в свою очередь, создает уже финансовые риски», – отметил руководитель направления Solar appScreener компании «Ростелеком-Солар» Даниил Чернов.
В целом, по результатам анализа Android-версий cамыми защищенными приложениями знакомств оказались Teamo и Фотострана: общий уровень защищенности обоих приложений равен 3.2 балла из 5.0. Звезды глобального рынка – приложения с количеством установок более 100 млн – Badoo и Tinder продемонстрировали средние показатели уровня защищенности, 2.9 и 2.6 балла соответственно. Наиболее уязвимым оказалось приложение MyFriends (1.9 балла из 5.0).
В 83% исследованных мобильных приложений знакомств на базе OC-Android ключ шифрования задан в исходном коде. Эта критичная уязвимость может привести к компрометации данных, содержащихся в программе, - как пользовательских, так и системных. Кроме того, все исследованные приложения знакомств на базе Android допускают внутреннюю утечку ценной информации, которой может воспользоваться злоумышленник для разработки плана атаки на приложение. Также все они содержат уязвимость, создающую угрозу выполнения злоумышленником произвольного кода в приложении.
Что касается iOS-приложений, рассматриваемых в исследовании, сервис знакомств Hitwe содержит наименьшее количество уязвимостей среди всех «яблочных» систем – ему удалось набрать 1.0 балл из 5.0 по общему уровню защищенности. iOS-версии мировых брендов Badoo и Tinder, как и в случае с Android, заняли средние позиции в рейтинге – общий уровень защищенности обоих равен 0.5 балла. Самым небезопасным приложением на базе iOS признан Topface (0.0 балла).
Все проанализированные iOS-версии содержат слабый алгоритм хеширования, что потенциально может привести к утрате конфиденциальности обрабатываемых ими данных. А более чем в половине из них заложены слабые алгоритмы шифрования, что создает угрозу их взлома методом полного перебора. В целом, iOS-версии мобильных сервисов знакомств содержат на порядок большее количество уязвимостей, чем Android-приложения, что, однако, в некоторой степени компенсируется более высокой защищенностью самой операционной системы.
Анализ безопасности кода мобильных приложений знакомств осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме.