В приложениях транспорта обнаружено более 1800 уязвимостей
Но в основном проблема встречается в малых сервисах
В российских мобильных приложениях такси, каршеринга и аренды самокатов за 2024 год было найдено 1818 уязвимостей, которые создают риск утечки данных пользователей. В 2023 году количество дырок в таких сервисах составляло 2488.
Аналитики отметили, что количество уязвимостей высокого и критического уровня значительно выросло год к году – 650 уязвимостей в 2024 году против 141 в
2023 году. Основная их масса приходится на сервисы, которые, предположительно, не обладают собственной командой по информационной безопасности и не уделяют внимания проверкам, то есть в достаточно небольших сервисах.
Увеличение критических уязвимостей может быть связано с тем, что альтернативных сервисов и приложений становится больше, но время и ресурсы, затрачиваемые на качественную разработку и тестирование, сокращаются. Кроме того, по словам руководителя проектов IT-компании EvApps Родиона Труфанова, рост популярности приложений вызывает рост интереса к ним со стороны взломщиков и специалистов по поиску уязвимостей.
Рост количества обнаруженных уязвимостей также может быть связан с расширением применения в компаниях практик DevSecOps – безопасной разработки, благодаря которым стали обнаруживать уязвимости, которые раньше не находили.
«Ситуацию можно сравнить с ростом заболеваемости из-за улучшения инструментов диагностики – фактически больных не стало резко больше, просто их стали лучше выявлять».
Специалистами F6 (ранее F.A.C.C.T. и Group IB) с 2022 года по первое полугодие
2024 г. в приложениях категории «транспорт» было выявлено 148 уязвимостей, три из которых были критические и 45 высокого уровня риска.
«Поскольку мы говорим о приложениях, с которыми пользователи делятся своими персональными данными, в том числе данными официальных документов, номерами телефонов, адресами, это может дать злоумышленникам большое поле для деятельности и привести, например, финансовым потерям».
Для рядового пользователя это самые критичные данные, с их помощью можно вычислить стандартные маршруты и место жительства, которые потом могут быть использованы для дальнейших атак с использованием социальной инженерии. Если злоумышленник узнает данные об аккаунте, он может использовать сервис в своих целях – например, ездить за счёт чужой привязанной карты или украсть транспорт.
Также к росту числа уязвимостей ведет недостаточное тестирование
приложений на уязвимости перед релизом. Но в последний год российские IT-компании, которые осознают риски эксплуатации критических уязвимостей, стали чаще обращаться за ранее нишевыми продуктами по проверке написанного кода, чтобы снизить риски, ведь в зависимости от вида уязвимости под угрозой могут оказаться данные не только пользователей, но и самой компании.
Пользователям стоит регулярно обновлять приложения, так как вместе с обновлениями разработчики выпускают патчи, закрывающие те или иные уязвимости, ошибки в коде.
Владельцу сервиса утечка персональных данных пользователей будет грозить административной или даже уголовной ответственностью, которая с мая текущего года будет гораздо более строгой.
Источник: Ведомости