80% Android-приложений для выбора алкоголя допускают утечку информации

80% Android-приложений для выбора алкоголя допускают утечку информации

80% Android-приложений для выбора алкоголя допускают утечку информации

«Ростелеком-Солар», национальный провайдер технологий и сервисов кибербезопасности, выпустил первое в России исследование безопасности мобильных приложений для выбора алкоголя.

В настоящее время в РФ действует ограничение на продажу алкогольных напитков через Интернет, введенное постановлением правительства в 2007 году. Это ограничение не раз становилось предметом бурных дискуссий. В результате Министерство финансов РФ в декабре 2019 планирует внести в Правительство РФ законопроект о легализации онлайн-продажи алкоголя. Основной целью законопроекта обозначена борьба с теневым оборотом в Рунете спиртного, нелегальные продажи которого в российском Интернет-сегменте за 2018 год выросли на 23%, до 2,1 млрд руб. В случае одобрения законопроекта правительством первый этап онлайн-торговли алкоголем может стартовать уже в январе 2020.

В связи с актуальностью тематики и в преддверие новогодних праздников эксперты компании «Ростелеком-Солар» с помощью инструмента Solar appScreener провели проверку популярных мобильных приложений для выбора алкоголя на наличие в их программном коде уязвимостей и недекларированных возможностей. Сервисы для анализа были отобраны согласно критерию популярности: количеству скачиваний и занимаемой позиции в разделе «Еда и напитки» в Google Play и App Store.

Для участия в исследовании были выбраны следующие сервисы: Vivino, Simple Wine, Untappd, «Виски», Whisky Suggest, «Мой Коктейль Бар», «Коктейли-рецепты для вечеринки», «Красное&Белое», «КуулКЛЕВЕР» («Отдохни»), «Бристоль», «Ароматный Мир» и «ВинЛаб». Приложения рассматривались в версиях для операционных систем Android и iOS.

Среди Android-версий первое место со значительным отрывом от конкурентов заняло приложение «SimpleWine - вино и напитки от сомелье»: оно набрало 3.8 балла из 5.0, поскольку не содержит ни одной критической уязвимости. Второе и третье место с минимальным отрывом заняли приложения «Ароматный Мир» и «Vivino - сканер вина». Они показали примерно одинаковый, достаточно высокий результат, почти на 1 балл превышающий средний для рынка показатель общего уровня защищенности в 2.2 балла из 5.0.

Android-версии приложений «КуулКЛЕВЕР (Отдохни)» и «ВинЛаб» содержат в исходном коде по 7 вхождений критических уязвимостей, что превышает предельно допустимый показатель в 5 единиц, чтобы не опуститься ниже среднего по рыку общего уровня защищенности. В данном исследовании впервые наблюдается ситуация, когда приложение («Бристоль»), содержащее в исходном коде всего 2 вхождения критических уязвимостей, получает низкую оценку общего уровня защищенности по причине огромного количества вхождений уязвимостей среднего уровня (10208!).

Примерно в трети исследованных Android-приложений наблюдается использование пустого пароля, чреватого компрометацией приложения – то есть доступом постороннего лица к защищаемой информации.

«В этом случае для пользователя основные риски связаны с возможным получением злоумышленником доступа к учетной записи пользователя в соцсетях. Ведь многие из исследованных приложений поддерживают аутентификацию через соцсети. В результате злоумышленнику может стать доступной переписка пользователя, а также конфиденциальная информация, содержащаяся в его социальном аккаунте. В ближайшем же будущем, с введением разрешения на онлайн-торговлю алкогольной продукцией, пользователи получат возможность привязки к подобным приложениям данных своих банковских карт. Что в дальнейшем может привести и к прямым финансовым потерям для пользователей в результате вывода злоумышленниками денежных средств с привязанных карт. Поэтому разработчикам приложений для выбора алкоголя, планирующим осуществлять онлайн-продажи через свои сервисы, уже сейчас следует задуматься о проверке кода своих разработок на уязвимости», – подчеркнул руководитель направления Solar appScreener компании «Ростелеком-Солар» Даниил Чернов.

80% рассмотренных в исследовании приложений под Android допускают внутреннюю утечку ценной информации о конфигурации системы, что облегчает злоумышленнику подготовку атаки на приложение.

iOS-версии мобильных приложений для выбора алкоголя защищены значительно хуже, чем их аналоги под Android. Здесь лучшие результаты продемонстрировали приложение «КуулКЛЕВЕР» («Отдохни»), Bristol, «SimpleWine – вино и напитки» и Whisky Suggest. Замыкает рейтинг сервис для выбора алкоголя WineLab.

Для iOS-версий приложений характерны такие уязвимости, как использование небезопасной хеш-функции, которая может привести к нарушению конфиденциальности данных пользователей. Также в исследованных приложениях наблюдается применение «отладочного» метода NSLog, потенциально допускающего раскрытие информации, которая позволяет злоумышленнику реализовать атаку на приложение. А по причине применения небезопасной рефлексии исследованные iOS-приложения потенциально уязвимы к выполнению произвольного вредоносного кода, поскольку этот метод принимает в качестве аргумента данные из недоверенного источника.

При подготовке исследования декомпиляция и деобфускация приложений не производилась. Статический анализ осуществлялся в отношении бинарного кода.

Solar inRights начнёт блокировать учётки, чьи пароли утекли в даркнет

ГК «Солар» выпустила Solar inRights 3.11 — новую версию системы управления доступом, которая умеет автоматически реагировать на утечки корпоративных логинов и паролей. Система интегрирована с сервисом мониторинга внешних угроз Solar AURA.

Он ищет учётные данные сотрудников в открытых источниках и даркнете, после чего Solar inRights проверяет, действуют ли они во внутренних системах компании.

Если найденная связка совпадает с актуальной корпоративной учётной записью, доступ блокируется, а служба ИБ получает уведомление.

Сценарий вполне жизненный: сотрудник использовал рабочую почту и знакомый пароль на стороннем сайте, база утекла, а злоумышленник решил проверить, не подойдёт ли эта комбинация к корпоративной системе. Если пароль повторяется, вход может выглядеть совершенно легитимно.

По данным исследования «Солара», у одной крупной российской компании в открытых и теневых источниках в среднем обнаруживается более 600 уникальных корпоративных учётных записей. При этом только около 4% записей напрямую указывают на компрометацию инфраструктуры. Остальные тоже нельзя считать безобидными: старый добрый повтор пароля способен быстро превратить внешнюю утечку во внутренний инцидент.

Yandex Cloud ранее сообщал, что в первом полугодии 2025 года использование действительных учётных записей встречалось в 54% из более чем 25 тыс. попыток атак на облачные и гибридные инфраструктуры.

Раньше между обнаружением пароля в даркнете и блокировкой учётки могло пройти немало времени — особенно если данные сверяли вручную. Теперь этот промежуток пытаются сократить до минимума.

В версии 3.11 также обновили поиск, фильтры заявок и шаблоны интеграции с Active Directory, Exchange и 1С. Но главное здесь всё же другое: пароль ещё не успели использовать, а дверь перед ним уже захлопнулась.

RSS: Новости на портале Anti-Malware.ru