Самые уязвимые мобильные приложения – сервисы доставки готовой еды, товаров для дома и дачи, онлайн-аптеки

Центр цифровой экспертизы Роскачества и группа компаний «Солар» провели совместное исследование мобильных приложений, опубликованных на платформах iOS и Android. Были проанализированы около 70 ресурсов популярных сервисов доставки готовой еды, онлайн-аптек, маркетплейсов по продаже товаров для дома и дачи, бытовой техники и электроники, сервисов доставки цветов.

Аналитики сфокусировались на приложениях, имеющих рейтинг более 4 баллов и набравших от 500 000 скачиваний на сентябрь 2025 года. Наиболее массовыми стали группа сервисов доставки готовой еды, которыми суммарно пользуются около 50 млн человек, и приложения магазинов электроники и бытовой техники, которыми пользуются более 72 млн покупателей. В категории онлайн-аптек максимальный охват аудитории составил свыше 26,5 млн пользователей, в категории DIY были представлены сервисы, скачанные более 15 млн раз.

Сергей Кузьменко

Руководитель Центра цифровой экспертизы Роскачества

«Мошенники и хакеры значительно продвинулись в технологиях обмана пользователей. Социальная инженерия, вмешательство в интернет-трафик, поддельные страницы авторизации – это лишь верхушка айсберга. Зачастую пользователи даже не понимают, что стали жертвой атаки, пока не станет слишком поздно. Сегодня обязательным инструментом для повседневной жизни должна стать не просто цифровая грамотность, а тотальное недоверие к входящим коммуникациям. Это касается не только получаемого контента, но и любых внешних сетей, к которым мы в спешке или при отсутствии альтернатив стремимся подключиться.
Разграничивайте свою цифровую жизнь, не складывайте все данные в одну «корзину». Учитесь разделять информацию и входящий контент по степени важности. Это не защитит вас от таргетированной атаки, увы, но максимально усложнит работу хакерам. Исходя из простой логики и финансовых затрат, мошенники всегда идут по пути наименьшего сопротивления».

Большая часть исследованных приложений работает с поддержкой операционной системы Android. Эксперты протестировали их с помощью модуля SAST, входящего в состав ПО Solar appScreener. Для выявления уязвимостей и недекларированных возможностей (НДВ) использовались технологии автоматического бинарного анализа, без осуществления реверс-инжиниринга (декомпиляции исходного кода). Аналитики выявили пять основных категорий уязвимостей, которые позволяют киберпреступникам реализовать MITM-атаки (man in the middle, «человек посередине») и приводят к передаче конфиденциальной информации, личных и финансовых данных в руки злоумышленников.

Во всех исследованных приложениях сервисов доставки еды, онлайн-аптек, сервисов по заказу товаров для дома и дачи, а также в 75% приложений маркетплейсов электроники и бытовой техники эксперты выявили обращение к DNS. Эксплуатация этой уязвимости позволяет хакерам перенаправить трафик на поддельные серверы и перехватить данные, создает риск компрометации пользовательских данных и загрузки вредоносного контента. Например, если пользователь открывает приложение с подобной уязвимостью, есть риск, что из-за подмены DNS-записи запрос может быть направлен на поддельный сервер, внешне полностью похожий на оригинал. При вводе логина и пароля пользователь таким образом передает их злоумышленнику.

Второй из наиболее распространенных уязвимостей стала небезопасная рефлексия. Эксплуатация этого недостатка ПО позволяет злоумышленнику вызывать внутренние или приватные методы приложения, обходить проверки доступа и выполнять произвольный вредоносный код, что ведет к утечке данных и нарушению целостности работы софта. Например, приложение подгружает и вызывает внутренние методы по имени, полученному из пользовательского ввода. Злоумышленник подставляет имя скрытого системного метода путем перебора и получает доступ к функциям, которые должны быть недоступными, например, чтение данных всех зарегистрированных пользователей в приложении. Эта уязвимость была выявлена у подавляющего большинства исследованных приложений, реже – в 75% случаев – в приложения маркетплейсов для заказа электроники и бытовой техники.

Небезопасная собственная реализация SSL замыкает тройку самых распространенных уязвимостей. Она позволяет нарушить подлинности сертификатов защиты данных и установить защищенное соединение без должной валидации. При эксплуатации этой уязвимости хакеры также могут выполнить MITM-атаку, перехватить или подменить передаваемые данных, что ведет к компрометации конфиденциальной информации. Например, если разработчик приложения реализовал собственную проверку сертификатов и по ошибке принимает любой сертификат (или отключил валидацию). В результате при подключении через публичную или скомпрометированную сеть Wi-Fi злоумышленник подменяет сертификат и получает все передаваемые данные, включая токены, пароли и другую конфиденциальную информацию либо подделывает перехваченную информацию, тем самым нарушая целостность передаваемых данных.

Наиболее уязвимыми сервисами по этой категории стали приложения онлайн-аптек (93%), сервисы заказа готовой еды, цветов и подарков (75%), DIY-приложения (72%). При этом подобная уязвимость была выявлена только в 50% исследованных приложений маркетплейсов электроники и бытовой техники.

Использование слабых алгоритмов хеширования создает риск восстановления паролей при компрометации базы данных, а также позволяет подделывать данные из-за возможностей коллизий, что может привести к нарушению целостности и конфиденциальности информации. Например, если пароли пользователей хранятся в базе данных в виде MD5-хешей без «соли». После компрометации базы данных, злоумышленник легко восстанавливает исходные пароли с помощью т.н. «радужных таблиц» (предварительно вычисленные таблицы для обращения криптографических хеш-функций) и получает доступ к учетным записям. Эксперты отмечают, что отмеченный недостаток ПО выявлен в более 75% исследованных приложений во всех категориях.

В пятерку самых распространенных уязвимостей вошло использование незащищенного протокола HTTP. Если в приложении вместо HTTPS используется HTTP, то злоумышленники также получают возможность реализовать MITM-атаку. В этом случае возможна подмена данных, раскрытие передаваемой информации, что приводит к утечке конфиденциальных данных и нарушению принципа конфиденциальности в информационной безопасности. Например, если приложение передает токены авторизации по протоколу HTTP, то хакер, подключившийся к той же сети Wi-Fi, может перехватить весь сетевой трафик, включая токен авторизации. В результате он сможет войти в аккаунт пользователя без пароля.

Владимир Высоцкий

Руководитель развития бизнеса ПО Solar appScreener

«По итогам исследования были выявлены критичные уязвимости, которые открывают хакерам легкий доступ к самому ценному – личной, финансовой и конфиденциальной информации пользователей. Наибольшее беспокойство вызывает тот факт, что уязвимыми оказались приложения, охватывающие миллионы людей. Безусловно, аудитория исследованных сервисов пересекается, но в случае потенциальных утечек данных из нескольких приложений злоумышленники получают мощный инструмент для обогащения баз данных и последующих атак против пользователей и бизнеса».

Как отмечают аналитики Роскачества и «Солара», результаты исследования демонстрируют, что безопасность данных пользователей и приложений требует системного подхода и повышенного внимания не только на этапе готового продукта, но и с первых этапов разработки ПО. Эксперты рекомендуют разработчикам внедрить цикл безопасной разработки (Secure SDLC) в соответствии с ГОСТ и международными стандартами OWASP. Таким образом комплексный подход позволит защитить миллионы пользователей от MITM-атак и утечек конфиденциальной информации, обеспечивая доверие к цифровым сервисам.

Solar appScreener уже более 10 лет помогает бизнесу контролировать безопасность приложений, объединяя в едином интерфейсе статический (SAST), динамический (DAST), анализ состава ПО и анализ безопасности сторонних компонентов (OSA). Запущенный в 2015 году, продукт стал надежным инструментом в циклах безопасной разработки для свыше 200 компаний из банковской сферы, IT, ритейла, энергетики, транспорта и логистики. Solar appScreener поддерживает широкий спектр языков программирования и интегрируется в процессы CI/CD, обеспечивая комплексный и непрерывный контроль качества кода и безопасности приложений на всех этапах разработки и эксплуатации.