Новый уровень автоматизации: представлена обновленная версия Solar SIEM — 2025.2
Узнать больше
«Ростелеком-Солар» представил результаты исследования защищенности мобильных приложений для аренды и покупки недвижимости. Для анализа были выбраны наиболее популярные в категории «Недвижимость» программы, представленные на мобильных платформах Android и iOS: «Циан», «ДомКлик», «Яндекс.Недвижимость», N1.RU, Domofond, Airbnb, Mitula, «Этажи», Indomio, idealista [1].
[2] Оценка защищенности приложения высчитывается автоматически и учитывает такие показатели, как количество различных типов известных уязвимостей критического и среднего уровня и частота их повторяемости (количество вхождений) в коде. Вклад количества критических уязвимостей более высок, при этом он не учитывает объем кода. Количество уязвимостей среднего уровня учитывается с поправкой на объем кода. Число вхождений уязвимостей в конкретных приложениях в рамках данного исследования не раскрывается.
Среди уязвимостей, наиболее часто встречающихся в этих приложениях, были обнаружены те, что потенциально могут привести к нелегитимному доступу к системе и компрометации конфиденциальных данных пользователей. Объектами кражи могут стать ФИО, ежемесячный доход, паспортные данные и другая ценная информация.
Согласно полученным в ходе анализа данным, «Domofond Недвижимость. Квартиры: новостройки, дом» – наиболее защищенное приложение [2] для выбора недвижимости на платформе Android. На втором и третьем месте расположились «Indomio: продажа и аренда дом в Италии, Испании» и idealista. Их показатели выше среднего по сегменту уровня защищенности, который на момент подготовки исследования составил 2.2 балла из 5.0.
Самый высокий показатель общего уровня защищенности из всех проанализированных приложений на платформе iOS продемонстрировал Airbnb. Общий уровень защищенности этого сервиса для платформы iOS оценивается в 4.0 балла из 5.0, что значительно выше, чем у остального анализируемого ПО.
Согласно результатам анализа, мобильные приложения для выбора недвижимости, разработанные для платформы iOS, значительно хуже защищены, чем их Android-аналоги. Однако, по мнению экспертов, это частично компенсируется более высокой защищенностью мобильной операционной системы Apple Inc. Количество вхождений критических уязвимостей в приложениях на iOS в 30 раз выше, чем аналогичный показатель у Android.
Сканирование показало, что чаще всего в приложениях для выбора недвижимости на платформе Android встречаются такие известные уязвимости, как «Обход проверок безопасности SecurityManager» (занимает долю 38% от общего количества), «Использование JNI» (15%), «Некорректная работа с потоками» (6%). Основная угроза описанных проблем безопасности в том, что они могут привести к утечкам конфиденциальных данных пользователей сервисов.
Анализ iOS-приложений категории «Недвижимость» показал, что в них наиболее часто встречаются такие уязвимости, как «Небезопасная рефлексия» (занимает долю 42% от общего количества), «Слабый алгоритм шифрования» (30%), «Использование NSLog» (9%). Наиболее часто перечисленные уязвимости эксплуатируются в целях кражи персональных данных.
«Общий уровень защищенности приложений в категории “Недвижимость” и тот факт, что iOS и Android-приложения содержат критические уязвимости, вызывает серьезные опасения, — отмечает Даниил Чернов, директор Центра Solar sppScreener компании «Ростелеком-Солар». — Исследуемые программы обрабатывают такие данные, как ФИО, дата рождения, семейное положение, информация о детях, ежемесячный доход, а также паспортные данные (серия, номер, дата выдачи, код подразделения, наименование органа, выдавшего паспорт, регистрация). Уязвимости приложений могут привести к утечке этих данных, что повлечет за собой крайне негативные последствия для пользователей. Подобные риски подчеркивают высокую необходимость внедрения безопасного процесса разработки программного обеспечения».
Анализ безопасности кода осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, в том числе бинарного, анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме с автоматической верификацией модулем Fuzzy Logic Engine.
[1] Для сравнения уровня защищенности были выбраны популярные мобильные приложения для аренды и покупки недвижимости – «Циан. Недвижимость. Квартиры» для iOS v 1.205; «Циан. Недвижимость: квартиры, новостройки, ипотека» для Android v. 2.205.0; «ДомКлик. Снять, купить квартиру» для iOS v. 8.27.0; «ДомКлик. Недвижимость: купить, снять квартиру, дом» для Android v. 8.28.4; «Яндекс. Недвижимость» для iOS v. 5.2; «Яндекс.Недвижимость — квартиры» для Android v. 5.2.0; «N1.RU Недвижимость» для iOS v. 5.4.6; «N1.RU — Недвижимость: квартиры, новостройки, жильё» для Android (версия зависит от устройства); «Domofond Недвижимость:квартиры» для iOS v. 11; «Domofond Недвижимость. Квартиры: новостройки, дом» для Android v. 17; Airbnb для iOS v. 21.38; Airbnb для Android v. 21.37; «Mitula Недвижимость» для iOS v. 5.2.0; «Mitula Недвижимость» для Android v. 5.4, «Этажи, недвижимость и ипотека» для iOS v. 1.39.0; «Этажи: квартиры, новостройки, ипотека» для Android v. 2.39.0.20210901; «Indomio: Поиск дома» для iOS v. 8.12.2; «Indomio: продажа и аренда дом в Италии, Испании» для Android v. 5.6.5; idealista для iOS v. 10.5.6; idealista для Android v. 9.5.3.
[2] Оценка защищенности приложения высчитывается автоматически и учитывает такие показатели, как количество различных типов известных уязвимостей критического и среднего уровня и частота их повторяемости (количество вхождений) в коде. Вклад количества критических уязвимостей более высок, при этом он не учитывает объем кода. Количество уязвимостей среднего уровня учитывается с поправкой на объем кода. Число вхождений уязвимостей в конкретных приложениях в рамках данного исследования не раскрывается.
ДРУГИЕ СТАТЬИ ПРОДУКТА
Еще больше о наших возможностях
«Солар» запатентовал новый подход к защите веб-сервисов от ботов и вредоносного трафика
Узнать больше
ИИ, хактивизм и уязвимости для Windows 10: Solar 4RAYS представил прогнозы развития киберугроз на 2026 год
Узнать больше
ГК «Солар» увеличила долю в разработчике средств безопасности контейнеров Kubernetes
Узнать больше
Разработка ПО в финтехе и ритейле в зоне риска: «Солар», «Фазум» и «Хоулмонт» выявили более 30 уязвимостей в BPM-платформе Camunda 7
Узнать больше
Solar CyberMir 7.4: «Солар» запускает единую модель оценки навыков и компетенций киберзащитников
Узнать больше
Итоги Российской недели кибербезопасности 2025: как кибербезопасность меняет искусство и образование
Узнать больше
«Солар» подтверждает совместимость с «РЕД СОФТ» для бесшовного управления ИТ-инфраструктурой
Узнать больше
"Солар" и "Софтлайн Решения" завершили проект по внедрению инструментов безопасной разработки в Уральском банке реконструкции и развития
Узнать больше
Завершился SOC Forum 2025: кибербез как новый актив бизнеса, кадровые вопросы, симулятор взлома и выставка ИБ-стартапов
Узнать большеСамые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.