«Ростелеком-Солар» представил результаты исследования защищенности мобильных приложений для аренды и покупки недвижимости. Для анализа были выбраны наиболее популярные в категории «Недвижимость» программы, представленные на мобильных платформах Android и iOS: «Циан», «ДомКлик», «Яндекс.Недвижимость», N1.RU, Domofond, Airbnb, Mitula, «Этажи», Indomio, idealista [1].

Среди уязвимостей, наиболее часто встречающихся в этих приложениях, были обнаружены те, что потенциально могут привести к нелегитимному доступу к системе и компрометации конфиденциальных данных пользователей. Объектами кражи могут стать ФИО, ежемесячный доход, паспортные данные и другая ценная информация.

Согласно полученным в ходе анализа данным, «Domofond Недвижимость. Квартиры: новостройки, дом» – наиболее защищенное приложение [2] для выбора недвижимости на платформе Android. На втором и третьем месте расположились «Indomio: продажа и аренда дом в Италии, Испании» и idealista. Их показатели выше среднего по сегменту уровня защищенности, который на момент подготовки исследования составил 2.2 балла из 5.0.

Самый высокий показатель общего уровня защищенности из всех проанализированных приложений на платформе iOS продемонстрировал Airbnb. Общий уровень защищенности этого сервиса для платформы iOS оценивается в 4.0 балла из 5.0, что значительно выше, чем у остального анализируемого ПО.

Согласно результатам анализа, мобильные приложения для выбора недвижимости, разработанные для платформы iOS, значительно хуже защищены, чем их Android-аналоги. Однако, по мнению экспертов, это частично компенсируется более высокой защищенностью мобильной операционной системы Apple Inc. Количество вхождений критических уязвимостей в приложениях на iOS в 30 раз выше, чем аналогичный показатель у Android.

Сканирование показало, что чаще всего в приложениях для выбора недвижимости на платформе Android встречаются такие известные уязвимости, как «Обход проверок безопасности SecurityManager» (занимает долю 38% от общего количества), «Использование JNI» (15%), «Некорректная работа с потоками» (6%). Основная угроза описанных проблем безопасности в том, что они могут привести к утечкам конфиденциальных данных пользователей сервисов.

Анализ iOS-приложений категории «Недвижимость» показал, что в них наиболее часто встречаются такие уязвимости, как «Небезопасная рефлексия» (занимает долю 42% от общего количества), «Слабый алгоритм шифрования» (30%), «Использование NSLog» (9%). Наиболее часто перечисленные уязвимости эксплуатируются в целях кражи персональных данных.


«Общий уровень защищенности приложений в категории “Недвижимость” и тот факт, что iOS и Android-приложения содержат критические уязвимости, вызывает серьезные опасения, — отмечает Даниил Чернов, директор Центра Solar sppScreener компании «Ростелеком-Солар». — Исследуемые программы обрабатывают такие данные, как ФИО, дата рождения, семейное положение, информация о детях, ежемесячный доход, а также паспортные данные (серия, номер, дата выдачи, код подразделения, наименование органа, выдавшего паспорт, регистрация). Уязвимости приложений могут привести к утечке этих данных, что повлечет за собой крайне негативные последствия для пользователей. Подобные риски подчеркивают высокую необходимость внедрения безопасного процесса разработки программного обеспечения».

Анализ безопасности кода осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, в том числе бинарного, анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме с автоматической верификацией модулем Fuzzy Logic Engine.

[1] Для сравнения уровня защищенности были выбраны популярные мобильные приложения для аренды и покупки недвижимости – «Циан. Недвижимость. Квартиры‪» для iOS v 1.205; «Циан. Недвижимость: квартиры, новостройки, ипотека» для Android v. 2.205.0; «ДомКлик. Снять, купить квартир‪у» для iOS v. 8.27.0; «ДомКлик. Недвижимость: купить, снять квартиру, дом» для Android v. 8.28.4; «Яндекс. Недвижимост‪ь» для iOS v. 5.2; «Яндекс.Недвижимость — квартиры» для Android v. 5.2.0; «N1.RU Недвижимост‪ь» для iOS v. 5.4.6; «N1.RU — Недвижимость: квартиры, новостройки, жильё» для Android (версия зависит от устройства); «Domofond Недвижимость:квартир‪ы» для iOS v. 11; «Domofond Недвижимость. Квартиры: новостройки, дом» для Android v. 17; Airbn‪b для iOS v. 21.38; Airbnb для Android v. 21.37; «Mitula Недвижимост‪ь» для iOS v. 5.2.0; «Mitula Недвижимост‪ь» для Android v. 5.4, «Этажи, недвижимость и ипотек‪а» для iOS v. 1.39.0; «Этажи: квартиры, новостройки, ипотека» для Android v. 2.39.0.20210901; «Indomio: Поиск дом‪а» для iOS v. 8.12.2; «Indomio: продажа и аренда дом в Италии, Испании» для Android v. 5.6.5; idealist‪a для iOS v. 10.5.6; idealista для Android v. 9.5.3.

[2] Оценка защищенности приложения высчитывается автоматически и учитывает такие показатели, как количество различных типов известных уязвимостей критического и среднего уровня и частота их повторяемости (количество вхождений) в коде. Вклад количества критических уязвимостей более высок, при этом он не учитывает объем кода. Количество уязвимостей среднего уровня учитывается с поправкой на объем кода. Число вхождений уязвимостей в конкретных приложениях в рамках данного исследования не раскрывается.