Большинство наиболее популярных в России мобильных приложений ритейлеров одежды содержат критические уязвимости, которые особенно распространены в версиях для iOS, следует из данных «Ростелеком-Solar». Часть из таких уязвимостей злоумышленники могут использовать, чтобы получить доступ к аккаунту пользователя или собрать информацию о его мобильном устройстве. Сами ритейлеры настаивают, что уделяют значительное внимание вопросам информационной безопасности.
Каждое из топ-10 популярных в России мобильных приложений для покупки одежды на iOS содержит критические уязвимости, говорится в исследовании «Ростелеком-Solar» (есть у “Ъ”). Компания изучила приложения ритейлеров Mango, Asos, Shein, Bonprix, Wildberries, H&M, KupiVIP, Bershka, Joom и Lamoda в версиях для iOS и Android. iOS-версии оказались защищены значительно хуже, а частота обнаружения критических уязвимостей в их коде — на один-два порядка выше, следует из данных «Ростелеком-Solar».
Так, все десять iOS-приложений используют устаревшие хеш-функции, которые не обеспечивают достаточно стойкого шифрования. «Хотя эксплуатация этой уязвимости является непростой задачей, в случае успеха злоумышленник может получить доступ к аккаунту пользователя»,— говорится в отчете. Кроме того, каждое из приложений содержит уязвимости, позволяющие злоумышленнику получить избыточную информацию об устройстве пользователя и с помощью нее спланировать атаку.
В целом, по данным компании, на Android наиболее защищены приложения Mango, Asos и Shein, а наименее — Joom и Lamoda. Среди iOS-приложений меньше всего уязвимостей содержат Bonprix, Wildberries, Asos и Bershka, а больше всего — H&M и Shein. Среди критических уязвимостей чаще всего встречались ошибки в шифровании, небезопасная реализация SSL и слабый алгоритм хеширования.
По оценкам Data Insight, за первые три квартала 2018 года онлайн-ритейлеры одежды и обуви в России получили за счет мобильных приложений 47% выручки. Защищенность их приложений становится все более серьезным вопросом, ведь ритейлеры оперируют платежными данными, компрометация и утечка которых способна нанести финансовый ущерб пользователям и репутационный бренду, отмечает руководитель направления Solar appScreener «Ростелеком-Solar» Даниил Чернов.
В iOS все же затруднительно эксплуатировать какую-либо уязвимость, хотя любые приложения, в которых фигурируют платежная информация или персональные данные, интересны злоумышленникам, говорит руководитель отдела технического сопровождения продуктов и сервисов ESET Russia Сергей Кузнецов. «Эксплойты под iOS существуют, однако они доступны очень узкому кругу лиц с очень высоким уровнем компетенций. Поэтому если уж конкретное iOS-приложение подобных специалистов заинтересует, то вероятность реализации успешной атаки будет очень высокой»,— рассуждает господин Чернов.
Уже известны случаи атак на приложения, например, для вызова такси, покупки билетов на самолет и бронирования гостиниц, уточняет антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев. По его мнению, разработчики приложений могут не уделять должного внимания вопросам безопасности, не обладать для этого достаточной экспертизой или быть ограничены во времени.
В пресс-службе Lamoda сообщили, что приложения компании регулярно проходят внутренний аудит специалистами по информационной безопасности, в том числе ручной анализ кода на уязвимости и автоматизированный контроль. Кроме того, компания готова выплачивать вознаграждения за сообщения о найденных уязвимостях. Wildberries также уделяет значительное внимание улучшению мобильных приложений, а случаев их взлома и утечки персональных данных клиентов не было, подчеркивает директор по ИТ компании Андрей Ревяшко.