Большинство приложений для покупки одежды имеют критические уязвимости

Большинство приложений для покупки одежды имеют критические уязвимости

Исследователи компании Ростелеком-Solar проанализировали популярные мобильные приложения, предназначенные для покупки одежды, среди них были MANGO, ASOS, SHEIN, bonprix, Wildberries, H&M, KUPIVIP, Bershka, Joom и Lamoda. Однако выводы экспертов довольно неутешительные — большинство приложений имеют критические уязвимости.

На фоне растущей популярности подобных приложений очень важно адекватно оценивать риски и представлять, насколько хорошо защищены ваши данные.

Исследование Ростелеком-Solar продемонстрировало, что имеющиеся в приложениях для покупки одежды бреши могут привести к утечке конфиденциальных данных — например, информации платежных карт или паролей от аккаунтов.

Специалисты проанализировали версии вышеозначенных приложений для двух наиболее популярных мобильных ОС — Android и iOS.

В результате оказалось, что более 85% Android-приложений для покупки одежды способны раскрыть информацию о платежных картах пользователей. 9 из 10 приложений для Android потенциально допускают утечку информации о конфигурации системы. Такие данные могут быть использованы злоумышленником при планировании атаки.

Самыми защищенными Android-версиями приложений для покупки одежды оказались MANGO, ASOS и SHEIN. Чуть менее защищены bonprix, Wildberries, H&M, KUPIVIP и Bershka. А вот Joom и Lamoda оказались критически уязвимы, причем в каждом из них содержатся 5 серьезных дыр.

В случае с операционной системой iOS все еще хуже — среди проанализированных приложений не оказалось ни одного, которое бы удовлетворяло среднему по отрасли показателю уровня защищенности.

Любое из iOS­-приложений для покупки одежды содержит критические уязвимости, наименьшее количество дыр содержат bonprix, Wildberries, ASOS и Bershka. При этом все приложения для iOS используют устаревшие хеш­-функции (MD5 или SHA­1).

Это значит, что атакующий потенциально сможет получить доступ к аккаунту жертвы.

«Значимость защищенности мобильных приложений ретейлеров трудно переоценить, ведь они оперируют платежными данными, компрометация и утечка которых способна нанести колоссальный финансовый ущерб пользователям и репутационный – бренду. В связи с ежегодным всплеском покупательской активности в начале марта мы посчитали необходимым проверить уровень защищенности мобильных приложений для покупки одежды», — комментирует Даниил Чернов, руководитель направления Solar appScreener компании Ростелеком-Solar.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Основатель Yoroi поделился инструментом для статического анализа

Исследователь вредоносных программ и основатель компании Yoroi Марко Рамилли поделился простеньким инструментом для статического анализа кода зловредов. Именно этот инструмент Рамилли использовал в ходе своего обширного исследования злонамеренных программ.

Эксперт поделился разработкой в Twitter. По его словам, всем желающим теперь доступен статический анализ более чем 240 000 семплов вредоносных программ.

За интерфейсом, который мы приводим ниже, стоит живой движок, анализирующий бинарные файлы. По каждому семплу можно вызвать всплывающее окно, в котором будут детали анализа.

«Есть возможность поиска по sha256 — просто вставьте его в поисковую строку и нажмите кнопку “Search“», — пишет Рамилли.

Воспользоваться инструментом можно по этой ссылке.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru