Фото: TippaPatt/FOTODOM/Shutterstock
Центр цифровой экспертизы Роскачества и группа компаний «Солар» провели совместное исследование мобильных приложений, опубликованных на платформах iOS и Android. Были проанализированы около 70 ресурсов популярных сервисов доставки готовой еды, онлайн-аптек, маркетплейсов по продаже товаров для дома и дачи, бытовой техники и электроники, сервисов доставки цветов.
Во всех исследованных приложениях сервисов доставки еды, онлайн-аптек, сервисов по заказу товаров для дома и дачи, а также в 75% приложений маркетплейсов электроники и бытовой техники эксперты выявили обращение к DNS. Эксплуатация этой уязвимости позволяет хакерам перенаправить трафик на поддельные серверы и перехватить данные, создает риск компрометации пользовательских данных и загрузки вредоносного контента. Например, если пользователь открывает приложение с подобной уязвимостью, есть риск, что из-за подмены DNS-записи запрос может быть направлен на поддельный сервер, внешне полностью похожий на оригинал. При вводе логина и пароля пользователь таким образом передает их злоумышленнику.
Второй из наиболее распространенных уязвимостей стала небезопасная рефлексия. Эксплуатация этого недостатка ПО позволяет злоумышленнику вызывать внутренние или приватные методы приложения, обходить проверки доступа и выполнять произвольный вредоносный код, что ведет к утечке данных и нарушению целостности работы софта. Например, приложение подгружает и вызывает внутренние методы по имени, полученному из пользовательского ввода. Злоумышленник подставляет имя скрытого системного метода путем перебора и получает доступ к функциям, которые должны быть недоступными, например, чтение данных всех зарегистрированных пользователей в приложении. Эта уязвимость была выявлена у подавляющего большинства исследованных приложений, реже — в 75% случаев — в приложения маркетплейсов для заказа электроники и бытовой техники.
Небезопасная собственная реализация SSL замыкает тройку самых распространенных уязвимостей. Она позволяет нарушить подлинности сертификатов защиты данных и установить защищенное соединение без должной валидации. При эксплуатации этой уязвимости хакеры также могут выполнить MITM-атаку, перехватить или подменить передаваемые данных, что ведет к компрометации конфиденциальной информации. Например, если разработчик приложения реализовал собственную проверку сертификатов и по ошибке принимает любой сертификат (или отключил валидацию). В результате при подключении через публичную или скомпрометированную сеть Wi-Fi злоумышленник подменяет сертификат и получает все передаваемые данные, включая токены, пароли и другую конфиденциальную информацию либо подделывает перехваченную информацию, тем самым нарушая целостность передаваемых данных.
Наиболее уязвимыми сервисами по этой категории стали приложения онлайн-аптек (93%), сервисы заказа готовой еды, цветов и подарков (75%), DIY-приложения (72%). При этом подобная уязвимость была выявлена только в 50% исследованных приложений маркетплейсов электроники и бытовой техники.
Фото: TippaPatt/FOTODOM/Shutterstock
Центр цифровой экспертизы Роскачества и группа компаний «Солар» провели совместное исследование мобильных приложений, опубликованных на платформах iOS и Android. Были проанализированы около 70 ресурсов популярных сервисов доставки готовой еды, онлайн-аптек, маркетплейсов по продаже товаров для дома и дачи, бытовой техники и электроники, сервисов доставки цветов.
Во всех исследованных приложениях сервисов доставки еды, онлайн-аптек, сервисов по заказу товаров для дома и дачи, а также в 75% приложений маркетплейсов электроники и бытовой техники эксперты выявили обращение к DNS. Эксплуатация этой уязвимости позволяет хакерам перенаправить трафик на поддельные серверы и перехватить данные, создает риск компрометации пользовательских данных и загрузки вредоносного контента. Например, если пользователь открывает приложение с подобной уязвимостью, есть риск, что из-за подмены DNS-записи запрос может быть направлен на поддельный сервер, внешне полностью похожий на оригинал. При вводе логина и пароля пользователь таким образом передает их злоумышленнику.
Второй из наиболее распространенных уязвимостей стала небезопасная рефлексия. Эксплуатация этого недостатка ПО позволяет злоумышленнику вызывать внутренние или приватные методы приложения, обходить проверки доступа и выполнять произвольный вредоносный код, что ведет к утечке данных и нарушению целостности работы софта. Например, приложение подгружает и вызывает внутренние методы по имени, полученному из пользовательского ввода. Злоумышленник подставляет имя скрытого системного метода путем перебора и получает доступ к функциям, которые должны быть недоступными, например, чтение данных всех зарегистрированных пользователей в приложении. Эта уязвимость была выявлена у подавляющего большинства исследованных приложений, реже — в 75% случаев — в приложения маркетплейсов для заказа электроники и бытовой техники.
Небезопасная собственная реализация SSL замыкает тройку самых распространенных уязвимостей. Она позволяет нарушить подлинности сертификатов защиты данных и установить защищенное соединение без должной валидации. При эксплуатации этой уязвимости хакеры также могут выполнить MITM-атаку, перехватить или подменить передаваемые данных, что ведет к компрометации конфиденциальной информации. Например, если разработчик приложения реализовал собственную проверку сертификатов и по ошибке принимает любой сертификат (или отключил валидацию). В результате при подключении через публичную или скомпрометированную сеть Wi-Fi злоумышленник подменяет сертификат и получает все передаваемые данные, включая токены, пароли и другую конфиденциальную информацию либо подделывает перехваченную информацию, тем самым нарушая целостность передаваемых данных.
Наиболее уязвимыми сервисами по этой категории стали приложения онлайн-аптек (93%), сервисы заказа готовой еды, цветов и подарков (75%), DIY-приложения (72%). При этом подобная уязвимость была выявлена только в 50% исследованных приложений маркетплейсов электроники и бытовой техники.
