94% мобильных приложений интернет-магазинов содержат критические уязвимости

По данным исследования, 94% мобильных приложений имеют серьезные уязвимости, которые могут быть использованы злоумышленниками для кражи данных клиентов или атак на бизнес. Такими данными поделился директор по продукту AppSec Solutions Юрий Шабалин. Эксперт рассказал о рисках, связанных с безопасностью ПО для интернет-торговли.

В ходе ежегодного аудита специалисты AppSec Solutions проанализировали популярные приложения из российских сторов в категориях eСom и еGrocery. Было обнаружено более 3200 уязвимостей, из которых свыше 1200 относятся к категориям critical и high.

Мобильные приложения – одно из самых уязвимых программных решений, работающих с персональными данными. Они функционируют в неконтролируемой среде на устройстве пользователя, в отличие от веб-приложений. Бизнес часто полагается на подрядчиков, а те – на встроенные механизмы безопасности Android и iOS. Нередко разработкой занимаются команды без специалистов по информационной безопасности, что приводит к критическим ошибкам на этапе создания приложения.

Главной проблемой 2025 года является хранение конфиденциальных данных в незащищенном виде. Около 70% приложений сохраняют пароли, PIN-коды, персональные данные и технические ключи для API в открытом доступе. Это создает угрозу перехвата управления приложением, утечки баз данных, фишинговых рассылок и хищения средств.

Особую опасность представляет передача чувствительной информации через BroadcastReceiver, что позволяет перехватывать ее сторонним приложениям.

Утечки персональных данных грозят бизнесу серьезными финансовыми потерями. С декабря 2024 года штрафы за такие инциденты достигают 15 миллионов рублей, а при повторных нарушениях компании столкнутся с оборотными штрафами.