80% Android-приложений для выбора алкоголя допускают утечку информации

80% Android-приложений для выбора алкоголя допускают утечку информации

80% Android-приложений для выбора алкоголя допускают утечку информации

«Ростелеком-Солар», национальный провайдер технологий и сервисов кибербезопасности, выпустил первое в России исследование безопасности мобильных приложений для выбора алкоголя.

В настоящее время в РФ действует ограничение на продажу алкогольных напитков через Интернет, введенное постановлением правительства в 2007 году. Это ограничение не раз становилось предметом бурных дискуссий. В результате Министерство финансов РФ в декабре 2019 планирует внести в Правительство РФ законопроект о легализации онлайн-продажи алкоголя. Основной целью законопроекта обозначена борьба с теневым оборотом в Рунете спиртного, нелегальные продажи которого в российском Интернет-сегменте за 2018 год выросли на 23%, до 2,1 млрд руб. В случае одобрения законопроекта правительством первый этап онлайн-торговли алкоголем может стартовать уже в январе 2020.

В связи с актуальностью тематики и в преддверие новогодних праздников эксперты компании «Ростелеком-Солар» с помощью инструмента Solar appScreener провели проверку популярных мобильных приложений для выбора алкоголя на наличие в их программном коде уязвимостей и недекларированных возможностей. Сервисы для анализа были отобраны согласно критерию популярности: количеству скачиваний и занимаемой позиции в разделе «Еда и напитки» в Google Play и App Store.

Для участия в исследовании были выбраны следующие сервисы: Vivino, Simple Wine, Untappd, «Виски», Whisky Suggest, «Мой Коктейль Бар», «Коктейли-рецепты для вечеринки», «Красное&Белое», «КуулКЛЕВЕР» («Отдохни»), «Бристоль», «Ароматный Мир» и «ВинЛаб». Приложения рассматривались в версиях для операционных систем Android и iOS.

Среди Android-версий первое место со значительным отрывом от конкурентов заняло приложение «SimpleWine - вино и напитки от сомелье»: оно набрало 3.8 балла из 5.0, поскольку не содержит ни одной критической уязвимости. Второе и третье место с минимальным отрывом заняли приложения «Ароматный Мир» и «Vivino - сканер вина». Они показали примерно одинаковый, достаточно высокий результат, почти на 1 балл превышающий средний для рынка показатель общего уровня защищенности в 2.2 балла из 5.0.

Android-версии приложений «КуулКЛЕВЕР (Отдохни)» и «ВинЛаб» содержат в исходном коде по 7 вхождений критических уязвимостей, что превышает предельно допустимый показатель в 5 единиц, чтобы не опуститься ниже среднего по рыку общего уровня защищенности. В данном исследовании впервые наблюдается ситуация, когда приложение («Бристоль»), содержащее в исходном коде всего 2 вхождения критических уязвимостей, получает низкую оценку общего уровня защищенности по причине огромного количества вхождений уязвимостей среднего уровня (10208!).

Примерно в трети исследованных Android-приложений наблюдается использование пустого пароля, чреватого компрометацией приложения – то есть доступом постороннего лица к защищаемой информации.

«В этом случае для пользователя основные риски связаны с возможным получением злоумышленником доступа к учетной записи пользователя в соцсетях. Ведь многие из исследованных приложений поддерживают аутентификацию через соцсети. В результате злоумышленнику может стать доступной переписка пользователя, а также конфиденциальная информация, содержащаяся в его социальном аккаунте. В ближайшем же будущем, с введением разрешения на онлайн-торговлю алкогольной продукцией, пользователи получат возможность привязки к подобным приложениям данных своих банковских карт. Что в дальнейшем может привести и к прямым финансовым потерям для пользователей в результате вывода злоумышленниками денежных средств с привязанных карт. Поэтому разработчикам приложений для выбора алкоголя, планирующим осуществлять онлайн-продажи через свои сервисы, уже сейчас следует задуматься о проверке кода своих разработок на уязвимости», – подчеркнул руководитель направления Solar appScreener компании «Ростелеком-Солар» Даниил Чернов.

80% рассмотренных в исследовании приложений под Android допускают внутреннюю утечку ценной информации о конфигурации системы, что облегчает злоумышленнику подготовку атаки на приложение.

iOS-версии мобильных приложений для выбора алкоголя защищены значительно хуже, чем их аналоги под Android. Здесь лучшие результаты продемонстрировали приложение «КуулКЛЕВЕР» («Отдохни»), Bristol, «SimpleWine – вино и напитки» и Whisky Suggest. Замыкает рейтинг сервис для выбора алкоголя WineLab.

Для iOS-версий приложений характерны такие уязвимости, как использование небезопасной хеш-функции, которая может привести к нарушению конфиденциальности данных пользователей. Также в исследованных приложениях наблюдается применение «отладочного» метода NSLog, потенциально допускающего раскрытие информации, которая позволяет злоумышленнику реализовать атаку на приложение. А по причине применения небезопасной рефлексии исследованные iOS-приложения потенциально уязвимы к выполнению произвольного вредоносного кода, поскольку этот метод принимает в качестве аргумента данные из недоверенного источника.

При подготовке исследования декомпиляция и деобфускация приложений не производилась. Статический анализ осуществлялся в отношении бинарного кода.

Мосбиржа подключает ИИ к охоте за рыночными манипуляциями

Московская биржа внедряет инструменты на базе искусственного интеллекта, чтобы быстрее выявлять манипулирование рынком и инсайдерскую торговлю. Об этом сообщили в пресс-службе площадки. ИИ планируют глубоко встроить в комплаенс-процессы, во внутренний контроль за соблюдением правил и норм.

Система будет автоматически анализировать сотни тысяч сделок, связанные метрики взаимной торговли и признаки возможной координации между участниками рынка.

Проще говоря, если кто-то решил поиграть в случайные совпадения на бирже, алгоритмы должны заметить это быстрее человека.

Технология также будет формировать базу поведенческих метрик. Затем результаты анализа передадут специалистам, которые уже будут разбирать конкретные случаи и принимать решения по итогам расследований.

В Мосбирже отмечают, что это часть более широкой работы по применению технологий для развития рыночной инфраструктуры и усиления внутреннего контроля.

Старший управляющий директор по комплаенсу и этике бизнеса Московской биржи Ирина Грекова пояснила, что ИИ помогает быстрее обрабатывать большие массивы данных.

По её словам, в перспективе одного-двух лет ИИ-ассистенты и автоматизация процессов позволят освободить экспертов от части рутины, направить их ресурсы на сложные случаи, увеличить число расследований и сократить сроки принятия мер.

Так что биржевым хитрецам, похоже, станет сложнее прятаться в потоке сделок. Там, где раньше человеку приходилось долго копаться в массивах данных, теперь будет работать ИИ — холодный, быстрый и не устающий от подозрительных паттернов.

RSS: Новости на портале Anti-Malware.ru