В 2024 году в российских мобильных транспортных приложениях выявлено 1818 уязвимостей, угрожающих безопасности данных пользователей

В 2024 году в российских приложениях для заказа такси, каршеринга и аренды электросамокатов было выявлено 1818 уязвимостей, угрожающих безопасности данных пользователей. В соответствии с исследованием AppSec Solutions, в 2023 году общее количество уязвимостей составило 2488, при этом число критических случаев значительно увеличилось, как сообщают «Ведомости».

Анализ охватил 98 транспортных приложений, включая услуги по покупке топлива, навигации, антирадарам, а также приложения для отслеживания общественного транспорта и проверки штрафов ГИБДД. Все они доступны на платформах App Store, RuStore и Google Play.

Специалисты AppSec Solutions отмечают резкий рост числа критических уязвимостей: 650 случаев в 2024 году по сравнению с 141 в прошлом году. Эксперты полагают, что многие проблемы безопасности возникают у сервисов, у которых отсутствуют команды для защиты информации и которые недостаточно уделяют внимания проверке своих приложений.

Увеличение критических уязвимостей может быть также связано с ростом количества альтернативных приложений. По данным «Ведомостей», в российском App Store представлено более 30 приложений в категории «такси», среди которых преобладают локальные региональные сервисы.

Родион Труфанов, руководитель проектов в компании EvApps, подчеркивает, что время и ресурсы, выделяемые на разработку и тестирование, часто сокращаются из-за желания оптимизировать внешний вид приложения. По его мнению, растущая популярность приложений привлекает большее внимание со стороны хакеров и специалистов по нахождению уязвимостей.

«Чем больше интерес, тем больше уязвимостей находят», — отмечает он.

Рост числа уязвимостей в транспортных приложениях отражает общую тенденцию увеличения таких проблем в мобильных приложениях, указывает Александр Блезнеков, руководитель направления по развитию информационной безопасности в «Телеком бирже». Он сообщает, что годовой прирост уязвимостей в IT-секторе составляет около 20%. Приложения для такси и каршеринга часто отличаются удобством, скоростью и возможностью онлайн-оплаты. Внедрение новых функций и использование библиотек с открытым кодом увеличивает объем кода, что, в свою очередь, способствует росту числа уязвимостей, добавляет Блезнеков. Это создает дополнительные возможности для злоумышленников.

«Поскольку речь идет о приложениях, в которых пользователи вводят личные данные, включая данные документов, номера телефонов и адреса, это открывает широкое поле для деятельности злоумышленников и может привести, например, к финансовым потерям», — предупреждает Юрий Шабалин, владелец продукта «Стингрей» экосистемы AppSec Solutions. В худшем случае уязвимость может привести к утечке персональных данных и информации о поездках, добавляет Блезнеков.

Эксперт Kaspersky ICS CERT Владимир Дащенко подчеркивает, что в зависимости от характера уязвимости могут пострадать не только данные пользователей, но и информация самой компании. Например, это может касаться уязвимости, которая позволяет злоумышленникам атаковать серверную инфраструктуру приложения.

Эксперты рекомендуют пользователям регулярно устанавливать обновления безопасности, которые исправляют уязвимости и ошибки в коде.

Роман Сафиуллин, руководитель отдела защиты информации InfoWatch ARMA, напоминает, что утечка персональных данных может повлечь за собой административную или даже уголовную ответственность для владельца сервиса. Кроме этого, уязвимость в приложении может обеспечить платформу для распространения вредоносного ПО, хотя такие случаи достаточно редки, заключает он.