80% Android-приложений для выбора алкоголя допускают утечку информации

80% Android-приложений для выбора алкоголя допускают утечку информации

80% Android-приложений для выбора алкоголя допускают утечку информации

«Ростелеком-Солар», национальный провайдер технологий и сервисов кибербезопасности, выпустил первое в России исследование безопасности мобильных приложений для выбора алкоголя.

В настоящее время в РФ действует ограничение на продажу алкогольных напитков через Интернет, введенное постановлением правительства в 2007 году. Это ограничение не раз становилось предметом бурных дискуссий. В результате Министерство финансов РФ в декабре 2019 планирует внести в Правительство РФ законопроект о легализации онлайн-продажи алкоголя. Основной целью законопроекта обозначена борьба с теневым оборотом в Рунете спиртного, нелегальные продажи которого в российском Интернет-сегменте за 2018 год выросли на 23%, до 2,1 млрд руб. В случае одобрения законопроекта правительством первый этап онлайн-торговли алкоголем может стартовать уже в январе 2020.

В связи с актуальностью тематики и в преддверие новогодних праздников эксперты компании «Ростелеком-Солар» с помощью инструмента Solar appScreener провели проверку популярных мобильных приложений для выбора алкоголя на наличие в их программном коде уязвимостей и недекларированных возможностей. Сервисы для анализа были отобраны согласно критерию популярности: количеству скачиваний и занимаемой позиции в разделе «Еда и напитки» в Google Play и App Store.

Для участия в исследовании были выбраны следующие сервисы: Vivino, Simple Wine, Untappd, «Виски», Whisky Suggest, «Мой Коктейль Бар», «Коктейли-рецепты для вечеринки», «Красное&Белое», «КуулКЛЕВЕР» («Отдохни»), «Бристоль», «Ароматный Мир» и «ВинЛаб». Приложения рассматривались в версиях для операционных систем Android и iOS.

Среди Android-версий первое место со значительным отрывом от конкурентов заняло приложение «SimpleWine - вино и напитки от сомелье»: оно набрало 3.8 балла из 5.0, поскольку не содержит ни одной критической уязвимости. Второе и третье место с минимальным отрывом заняли приложения «Ароматный Мир» и «Vivino - сканер вина». Они показали примерно одинаковый, достаточно высокий результат, почти на 1 балл превышающий средний для рынка показатель общего уровня защищенности в 2.2 балла из 5.0.

Android-версии приложений «КуулКЛЕВЕР (Отдохни)» и «ВинЛаб» содержат в исходном коде по 7 вхождений критических уязвимостей, что превышает предельно допустимый показатель в 5 единиц, чтобы не опуститься ниже среднего по рыку общего уровня защищенности. В данном исследовании впервые наблюдается ситуация, когда приложение («Бристоль»), содержащее в исходном коде всего 2 вхождения критических уязвимостей, получает низкую оценку общего уровня защищенности по причине огромного количества вхождений уязвимостей среднего уровня (10208!).

Примерно в трети исследованных Android-приложений наблюдается использование пустого пароля, чреватого компрометацией приложения – то есть доступом постороннего лица к защищаемой информации.

«В этом случае для пользователя основные риски связаны с возможным получением злоумышленником доступа к учетной записи пользователя в соцсетях. Ведь многие из исследованных приложений поддерживают аутентификацию через соцсети. В результате злоумышленнику может стать доступной переписка пользователя, а также конфиденциальная информация, содержащаяся в его социальном аккаунте. В ближайшем же будущем, с введением разрешения на онлайн-торговлю алкогольной продукцией, пользователи получат возможность привязки к подобным приложениям данных своих банковских карт. Что в дальнейшем может привести и к прямым финансовым потерям для пользователей в результате вывода злоумышленниками денежных средств с привязанных карт. Поэтому разработчикам приложений для выбора алкоголя, планирующим осуществлять онлайн-продажи через свои сервисы, уже сейчас следует задуматься о проверке кода своих разработок на уязвимости», – подчеркнул руководитель направления Solar appScreener компании «Ростелеком-Солар» Даниил Чернов.

80% рассмотренных в исследовании приложений под Android допускают внутреннюю утечку ценной информации о конфигурации системы, что облегчает злоумышленнику подготовку атаки на приложение.

iOS-версии мобильных приложений для выбора алкоголя защищены значительно хуже, чем их аналоги под Android. Здесь лучшие результаты продемонстрировали приложение «КуулКЛЕВЕР» («Отдохни»), Bristol, «SimpleWine – вино и напитки» и Whisky Suggest. Замыкает рейтинг сервис для выбора алкоголя WineLab.

Для iOS-версий приложений характерны такие уязвимости, как использование небезопасной хеш-функции, которая может привести к нарушению конфиденциальности данных пользователей. Также в исследованных приложениях наблюдается применение «отладочного» метода NSLog, потенциально допускающего раскрытие информации, которая позволяет злоумышленнику реализовать атаку на приложение. А по причине применения небезопасной рефлексии исследованные iOS-приложения потенциально уязвимы к выполнению произвольного вредоносного кода, поскольку этот метод принимает в качестве аргумента данные из недоверенного источника.

При подготовке исследования декомпиляция и деобфускация приложений не производилась. Статический анализ осуществлялся в отношении бинарного кода.

Базальт СПО показала новые продукты и крупные проекты миграции на ОС Альт

В Москве прошла четвертая партнерская конференция «Базальт СПО» AltConf: Orange Season, приуроченная к 25-летию ALT Linux. Мероприятие собрало более 2,3 тыс. участников в онлайн- и офлайн-форматах. Одной из главных тем стала миграция крупных организаций на российские операционные системы.

В «Ростелекоме» на «Альт Рабочую станцию» перевели свыше 60 тыс. устройств. Перед началом проекта специалисты проверили совместимость 850 ИТ-сервисов, а сам переход проводили поэтапно. В среднем настройка одного рабочего места занимала три-четыре часа.

Опытом внедрения решений «Альт» также поделились «Россети». Компания выбрала их после тестирования нескольких операционных систем — в том числе благодаря интеграции с Active Directory и поддержке необходимого прикладного ПО. Процесс миграции автоматизировали с помощью системы централизованного управления рабочими станциями.

Еще один проект представил Национальный инновационный центр Казахстана. Национальная операционная система QAZOS создана на базе «Альт Платформы», локализована на казахский язык и адаптирована под местное законодательство. Сейчас ее готовят к внедрению в госорганизациях и на объектах критической инфраструктуры.

«Базальт СПО» также рассказала о планах на 2026 год. Компания готовит системы «Альт Оркестрация» для контейнерных сред, новую редакцию «Альт Виртуализации» на базе OpenNebula и линейку «Альт Контроллер» с поддержкой режима реального времени. При этом жизненный цикл платформы p11 решено продлить, а выпуск двенадцатой версии пока не планируется.

На конференции также объявили о сотрудничестве с разработчиком процессоров «Иртыш» и производителем мобильных устройств MIG. Стороны займутся адаптацией ОС «Альт» для российского оборудования.

RSS: Новости на портале Anti-Malware.ru