PT Research Lab компании Positive Technologies выпустила ежегодный отчет по статистике уязвимостей веб-приложений за 2009 г.

Positive Technologies проанализировала уязвимости веб-приложений

Исследование PT Research Lab, подразделения компании Positive Technologies показывают, что ошибки в защите веб-приложений по-прежнему остаются одним из наиболее распространенных недостатков обеспечения защиты информации. Подтверждением этого тезиса является многолетняя статистика уязвимостей безопасности веб-приложений, публикуемая компанией.

В этом году были проанализированы данные о 5560 веб-приложениях, протестированных специалистами компании Positive Technologies в ходе предоставления консалтинговых и сервисных услуг по информационной безопасности, таких как: тесты на проникновение, анализ защищенности в рамках стандарта PCI DSS  и мониторинг защищенности внешнего периметра с использованием системы MaxPatrol.

Практически половина проанализированных систем содержали уязвимости. Суммарно во всех приложениях было обнаружено 13434 ошибок различной степени риска, зафиксировано 1412 образцов вредоносного кода, содержащихся на страницах уязвимых систем. Доля скомпрометированных сайтов, распространявших вредоносное программное обеспечение, составила 1,7%. Каждый из таких сайтов содержал уязвимости, позволяющие выполнять команды на сервере, что подтверждает возможность использование этих уязвимостей для компрометации системы.

Основной результат исследования неутешителен. Вероятность обнаружения критичной ошибки в веб-приложении автоматическим сканером составляет около 35% и достигает 80% при детальном экспертном анализе. Этот факт демонстрирует невысокую защищенность современных веб-приложений не только от атак со стороны квалифицированных злоумышленников, но и от действий атакующих, вооруженных готовыми утилитами для «автоматического взлома».

Как и ранее, наиболее распространенными ошибками, допускаемыми разработчиками приложений, являются уязвимости «межсайтовое выполнение сценариев» и «внедрение операторов SQL», на которые пришлось более 19% и 17% всех обнаруженных уязвимостей соответственно.

С точки зрения соответствия требованиям регуляторов (compliance management), ситуация улучшилась незначительно. До 84% веб-приложений не удовлетворяет требованиям стандарта по защите информации в индустрии платежных карт PCI DSS, и 81% не соответствует критериям ASV-сканирования, определенного в стандарте.

Сравнение результатов с отчетами предыдущих четырех лет показал, что ситуация со степенью защищенности веб-приложений в 2009 г. в целом улучшилась. Так, анализ устранения уязвимостей на 768 сайтах, проверявшихся в 2008 и 2009 г., показал, что более 60 процентов владельцев устранили все критичные уязвимости в течение года и существенно повысили защищенность своих ресурсов. В целом, регулярный анализ защищенности веб-приложений и налаженный процесс устранения выявленных недостатков позволяют за год уменьшить число уязвимых сайтов в среднем втрое.

По словам эксперта по информационной безопасности Positive Technologies Дмитрия Евтеева, в этом году, несмотря на развитие методов атак, «щит пересилил меч». Развитие систем контроля защищённости, безопасных платформ и средств разработки, проактивных средств защиты и межсетевых экранов уровня приложения (Web Application Firewall) начинает приносить свои плоды. Однако, как и раньше, большая часть уязвимостей приходится на ошибки администрирования и могла быть устранена использованием безопасных конфигураций систем и приложений и использованием базовых функций защиты.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru