Большинство интернет-магазинов (94%) серьезно уязвимы для злоумышленников, рассказал «Известиям» 22 мая эксперт по защите мобильных приложений, директор по продукту «Стингрей» компании AppSec Solutions Юрий Шабалин.

Специалисты AppSec Solutions протестировали наиболее скачиваемые из российских сторов мобильные приложения в категориях e-com и е-grocery. В ходе исследования они обнаружили более 3200 уязвимостей, среди которых почти половина, более 1200, входит в категории сritical и high, то есть могут быть потенциально опасны для пользователей и компаний-владельцев.

Как отметил Шабалин, мобильные приложения можно считать одним из самых уязвимых программных обеспечений, которое использует персональные данные. В отличие от веб-приложений они работают в опасной среде на устройстве пользователя, которую невозможно контролировать.

Эксперт уточнил, что, заказывая разработку мобильного приложения, бизнес полагается на подрядчиков, а подрядчики — на механизмы безопасности операционных систем Android и iOS.

«Зачастую в качестве разработчиков выступают команды, в которых нет ИБ-специалистов, и серьезные уязвимости допускаются уже на уровне разработки. В итоге компания как будто бы экономит, не задумываясь о том, что спустя некоторое время IT-инфраструктура ритейлера может подвергнуться атаке именно через мобильное приложение, ведь когда мы говорим об электронной торговле, приложение связано с системой платежей и логистики», — подчеркнул Шабалин.По его словам, наиболее острая проблема в 2025 году — хранение чувствительных данных в незащищенном виде. Около 70% приложений онлайн-торговли хранят данные от сторонних сервисов в открытом виде: пароли, PIN-коды, персональная информация и технические данные, которые обеспечивают взаимодействие с внешними сервисами push-уведомлений, инструментами геолокации и другими API.

Как объяснил эксперт, в числе потенциальных проблем, которые это может доставить владельцам интернет-магазина, — перехват контроля за приложением и, как следствие, слив бюджетов на сторонние сервисы, рассылка фишинговых ссылок пользователям, кража баз данных или конфиденциальных ключей. Одна из наиболее опасных уязвимостей, которую обнаружили специалисты в ходе исследования приложений для электронной торговли, — передача чувствительной информации в BroadcastReceiver. Это может привести к перехвату этой информации сторонними приложениями.

Ранее, 13 мая, сообщалось, что больше трети (37%) успешных кибератак на российские компании в 2024 году начинались с компрометации учетных данных сотрудников. В 2023-м на подобные атаки приходилось 19% инцидентов, следует из данных экспертов центра исследования киберугроз Solar 4RAYS группы компаний «Солар».