Две трети банковских приложений имеют уязвимости

По данным исследования AppSec Solutions, две трети банковских приложений имеют уязвимости. В рамках аналитики было изучено 95 продуктов банков, микрокредитования и страхования. Более 30% уязвимостей высокого и критического уровня.

В ходе изучения приложений было обнаружено 1583 уязвимости, из них больше трети (569) критического и высокого. Для сравнения, в 2023 году в приложениях для финансов уязвимостей в целом было больше, около 4,5 тыс., однако только 183 из них были крайне опасными.

«Если у тебя приложение финансовой организации, то ты обязан хотя бы дважды в год проходить пентест (тестирование на проникновение и безопасность) и устранять проблемы. В то же время, мы видим, что появляются уязвимости, которых раньше не было, а это означает, что киберзащита – это ежедневная необходимость, поскольку обнаруженные уязвимости при наличии у злоумышленников определенной квалификации могут привести к несанкционированному доступу к данным пользователей», – заявил владелец продукта «Стингрей» компании AppSec Solutions Юрий Шабалин.

Одна из наиболее распространенных уязвимостей в финтех-приложениях – хранение секретов для доступа к сторонним сервисам в открытом виде. Эта проблема встречается в исследовании более 60 раз, и может теоретически привести к доступу в сторонние сервисы от имени приложения. Среди распространенных ошибок исследователи отмечают хранение чувствительной информации в приватных файлах, а также хранение найденной чувствительной информации в приложении.

Магазины приложений – частая цель киберпреступников. Так, хакеры ранее развернули в Google Play мошенническую кампанию Vapor. Они использовали вредоносные приложения для показа рекламы и размещения фишинговых ссылок.

Начиная с марта текущего года мошенники маскировали приложения под легитимные утилиты, фитнес- и lifestyle-приложения. Также злоумышленники использовали несколько учетных записей разработчиков, чтобы минимизировать потери при блокировке отдельных аккаунтов.