По данным специалистов Positive Technologies в 2022 году было обнаружено 216 уязвимостей в 25 парах исследованных приложений для Android и IOS. За первое полугодие 2023 года таких уязвимостей было 102, что свидетельствует о некотором спаде, или, вероятнее всего, о замедлении активностей хакеров, взламывающих мобильное ПО.
Наибольшее количество уязвимостей — 14%, приходится на хранение данных пользователей в открытом виде. Несмотря на все старания разработчиков ПО и компаний по разработке безопасности для мобильных приложений, эта группа уязвимости сохраняет лидерство в проблемном списке «косяков» мобильного ПО.
На втором месте стоят проблемы, связанные с контролем целостности мобильных приложений и хранения конфиденциальной информации — по 9%.
Третье место занимают уязвимости, связанные с проверками на недоверенное окружение, у них 8%.
Количество угроз идёт на спад
Оптимистичным трендом 2023 года является то, что в некоторых мобильных приложениях исчезли своего рода «точки боли» — проблемные места, наиболее уязвимые для внешнего вмешательства. Например, разработчики перестали хранить криптографические ключи в файловой системе и не допускают ошибки, дающие возможность обхода директорий. Разработчики стали более рационально строить архитектуру приложений. Это позволило в разы снизить возможность атак на приложения и даже минимизировать некоторые типы угроз.
Например, в приложениях Android, использующих методику single activity, есть всего одна активность, что значительно снижает количество возможных точек стороннего вторжения.
Новые версии ОС помогают разработчикам приложений: вводятся более гранулярные разрешения на выполнение системных операций, а для ряда разрешений появилась возможность запрашивать их каждый раз. К примеру, теперь не нужно навсегда разрешать мобильному приложению разрешение на доступ к геолокации пользователя.
Фальшивые мобильные приложения — проблема 2023 года
После февраля 2022 года многие мобильные приложения были выведены владельцами из официальных магазинов, что открыло «окна возможностей» для целой армии кибер-мошенников.
Стали нарастать размещения фальшивых приложений, имитирующих приложения известных компаний.
Интересно то, что для установки на смартфон приложения из стороннего источника, требуется активировать соответствующую функцию, так как по умолчанию загрузка приложений не из официальных магазинов запрещена протоколами Android и IOS. Если до 2022 года мошенники обманом заставляли пользователей активировать эту функцию, то сейчас пользователи сами вынужденно идут на такие действия.
Устанавливая приложение из неизвестного источника, они чаще всего не могут быть точно уверены, что оно оригинальное. К примеру, приложение, казалось бы, известного банка может быть модифицировано киберпреступниками и похищать пароль к личному кабинету. Ситуацию усугубили и сами разработчики мобильных приложений, размещая в официальных магазинах свои приложения под новыми названиями и от лица других компаний. С этого момента понять, какое приложение легитимное, а какое нет, стало еще труднее.
Создание фальшивых приложений остаётся одной из главных киберугроз 2023 года.
Активность российских магазинов приложений
Работа российских магазинов приложений, призванных заместить Google Play и App Store — еще один вынужденный тренд 2023 года. Им предстоит приложить много усилий, чтобы привлечь пользователей и завоевать их доверие.
Проблема отечественных магазинов в том, что они по сути являются обычными пользовательскими приложениями и не имеют особых прав в системе. Вследствие этого требуется давать разрешение на установку приложения из недоверенных источников. Помочь в решении этой проблемы могло бы сотрудничество разработчиков отечественных магазинов и вендоров операционных систем.
Возможно, скоро появятся первые интеграции с китайскими вендорами. Другой вариант решения проблемы — создание отечественной операционной системы, где такие магазины приложений устанавливались бы по умолчанию как системные.
Время систематизации угроз
Мировые тренды уязвимостей в мобильных приложениях продолжают удивлять год от года: целочисленное переполнение в WhatsApp, полный захват учетной записи в TikTok через deeplink и похожая проблема с обработкой ссылок в Zoom.
Тестировщикам приложений удалось взломать Tesla, выполнив MITM-атаку на BLE-соединение (bluetooth low energy) между автомобилем и мобильным приложением.
Но это лишь малая часть того, о чем стало публично известно в 2022 году. Это не новые виды атак или неизвестные эксплойты, а типовые уязвимости, которые мы каждый год видим в приложениях. Можно подумать, что разработчики не учатся на своих ошибках. Почему? Возможно, не хватает инструментов.
Мировые компании по кибербезопасности уделяют теме классификации уязвимостей в мобильных приложениях очень мало внимания. OWASP Mobile Top 10 — рейтинг наиболее часто встречающихся угроз — не обновлялся с 2016 года, тогда как рейтинг для веб-угроз был актуализирован в 2021 году.
Первые три позиции в рейтинге уязвимостей мобильных приложений:
- Неправильное использование платформы (Improper Platform Usage)
- Небезопасное хранение данных (Insecure Data Storage)
- Небезопасные коммуникации (Insecure Communication), что отличается от наших результатов исследований безопасности приложений в 2021 и 2022 годах.
- В настоящее время назрела острая необходимость в составлении классификации уязвимостей для мобильных приложений, по примеру созданной классификации для веб–приложений.
Проблемы мобильного интернета
В феврале 2023 года скорость мобильного интернета в регионах упала на 7% по сравнению с февралем 2022 года — такую информацию опубликовали многие СМИ. Из-за санкций европейские производители перестали поставлять базовые станции сотовой связи. Это оборудование (антенна+радиоблок), от которого зависит качество сотовой связи и радиус покрытия. В 2022 году их установка в России сократилась на 60%.
С января по сентябрь 2023 года мобильный интернет подорожал на 8,3%, фиксированный интернет показал гораздо меньший рост — всего 3,6%.
Мобильный интернет, как и вся отрасль, переживает своего рода период турбулентности. Эксперты уверены, что основные угрозы и трудности придётся преодолевать в 2024 году. Многое будет зависеть от импортозамещения, так как параллельный импорт не в состоянии закрыть все бреши, образовавшиеся после февраля 2022 года.
