Напишите нам
Большинство приложений для покупки одежды потенциально опасны для пользователей
18 Марта 2019
Новости
Игорь Бахарев
Аналитики по безопасности компании "Ростелеком-Solar" изучили мобильные приложения магазинов Mango, Asos, Shein, Bonprix, Wildberries, H&M, KupiVIP, Bershka, Joom и Lamoda для iOS и Android. Выяснилось, что популярные сервисы для покупки одежды и обуви слабо защищены от атак мошенников.
Самыми распространенными уязвимостями исследователи назвали ошибки в шифровании, небезопасную реализацию SSL (уровень защищенных сокетов) и слабый алгоритм хеширования.
Наиболее безопасными признаны Bonprix, Wildberries, Asos и Bershka, наименее - H&M и Shein (на Android меньше всего уязвимостей у приложений Mango, Asos и Shein, а больше всего - у Joom и Lamoda).
Интересно, что iOS-версии приложений защищены хуже всего. Каждая из исследованных программ содержит критические уязвимости, позволяющие злоумышленнику получить избыточную информацию об устройстве пользователя и с помощью нее спланировать атаку. Кроме того, они используют устаревшие хеш-функции, которые не обеспечивают достаточно стойкого шифрования.
Впрочем в магазинах особой опасности не видят. Представитель Wildberries утверждает, что случаев взлома и утечки персональных данных клиентов через мобильной приложение компании не было. А в Lamoda, например, готовы выплачивать вознаграждения за сообщения о найденных уязвимостях.
Самыми распространенными уязвимостями исследователи назвали ошибки в шифровании, небезопасную реализацию SSL (уровень защищенных сокетов) и слабый алгоритм хеширования.
Наиболее безопасными признаны Bonprix, Wildberries, Asos и Bershka, наименее - H&M и Shein (на Android меньше всего уязвимостей у приложений Mango, Asos и Shein, а больше всего - у Joom и Lamoda).
Интересно, что iOS-версии приложений защищены хуже всего. Каждая из исследованных программ содержит критические уязвимости, позволяющие злоумышленнику получить избыточную информацию об устройстве пользователя и с помощью нее спланировать атаку. Кроме того, они используют устаревшие хеш-функции, которые не обеспечивают достаточно стойкого шифрования.
"Хотя эксплуатация этой уязвимости является непростой задачей, в случае успеха злоумышленник может получить доступ к аккаунту пользователя",- говорится в отчете.Руководитель направления Solar appScreener "Ростелеком-Solar" Даниил Чернов считает, что защищенность приложений ритейлеров становится все более серьезным вопросом, ведь магазины оперируют платежными данными, компрометация и утечка которых способна нанести финансовый ущерб пользователям и репутационный бренду.
Впрочем в магазинах особой опасности не видят. Представитель Wildberries утверждает, что случаев взлома и утечки персональных данных клиентов через мобильной приложение компании не было. А в Lamoda, например, готовы выплачивать вознаграждения за сообщения о найденных уязвимостях.
Подписаться на новости
Прочитаете,
когда вам будет удобно
Свежий дайджест из мира
eCommerce у вас в почте
