Программам максимум: уязвимости российских приложений сократились почти на треть
Уязвимости российских приложений сократились почти на треть, рассказали участники рынка. Сейчас 56% программных продуктов содержат незащищенность высокой и наивысшей степени критичности (годом ранее их было 83%). Большинство сервисов в настоящее время находятся под прицелом хакеров, поэтому их владельцы вынуждены усерднее работать над безопасностью, отметили эксперты. Проблемы с защитой могут привести к утечке данных, оттоку финансовых средств и клиентов, а также судебным искам.
Треть защиты
Российские приложения за последний год стали безопаснее для пользователей. Так, например, количество уязвимостей сервисов сократилось почти на треть. В 2022 году наличие серьезных проблем было выявлено у 83% мобильных сервисов, а в 2023-м этот показатель снизился до 56%, говорится в исследовании «Стингрей Технолоджиз». Эта платформа проводит анализ защищенности приложений.
Исследование проводилось методом «черного ящика», то есть атакующий не имел доступа к исходному коду. Таким образом эксперты изучали возможные векторы и оценивали существующие проблемы. Были рассмотрены уязвимости из нескольких основных категорий: сетевое взаимодействие, конфигурация приложений, хранение ключей и сертификатов, чувствительной информации, а также использование криптографии.
Агрессивные условия рынка вынуждают разработчиков спешить, чтобы представить клиентам возможность беспрерывно пользоваться сервисами компаний. Проблемы с безопасностью могут привести к потере данных и финансовых средств, оттоку клиентов и судебным искам, отметил гендиректор организации Юрий Шабалин.
«Известия» направили запросы в Минцифры, а также компаниям — разработчикам мобильных приложений.
Согласно аналитике магазина приложений RuStore, самыми популярными в 2023 году в разных категориях оказались «Сбербанк Онлайн», Ozon и «2ГИС». Среди неигровых категорий лидируют финансы — на них приходится около половины скачиваний, затем идут «полезные инструменты». Третье место делят в равных долях покупки, развлечения и транспорт. В топе категории «финансы» — «Сбербанк Онлайн», «Тинькофф» и «ВТБ Онлайн», в «полезных инструментах» — «Мегафон», Почта Mail.ru и «Мой МТС», в покупках — Ozon, Wildberries и «Мегамаркет», в категории «транспорт» — «2ГИС», «Яндекс Карты» и «Яндекс Go», а в «развлечениях» — RUTUBE, «Кинопоиск» и «Яндекс.Музыка».
Самыми скачиваемыми играми стали Tanks Blitz, «Симулятор автобуса 3D» и «Плюс Сити». В топ популярных игровых категорий вошли симуляторы (14,9% от всех скачиваний), приключения (10,9%), экшен (18,6%).
Безопасность не 100%
На сегодняшний день российский рынок оказался частично отрезан от «ключевой» разработки. Многие компании, попавшие под санкции, были вынуждены начать пользоваться своими средствами защиты. Фактически это другое направление развития, заявил ведущий аналитик Mobile Research Group Эльдар Муртазин.
— Все истории про защиту сейчас подозрительны, потому что уязвимости так называемого нулевого дня характерны для всех рынков и разработок. Россия тут никак не отличается от других стран. В основном, дело не в качестве работы, а в качестве инструментов, — сказал эксперт.
По его словам, приложения не смогут быть защищены на 100% никогда. Не существует никакого списка с перечислением уязвимостей. Изначально нужно исходить из того, что они существуют и не про все известно.
— Можно пытаться оценить «заплатки», которые ставят компании. Организации, безусловно, создают специальные контуры, но большая часть использует стандартные средства безопасности. Отдельную защиту приложений никто не делает, — отметил эксперт.
Некоторые уязвимости устаревают благодаря усилию разработчиков операционных систем (ОС): даже если в приложении осталась незащищенность, ею невозможно воспользоваться в новых ОС. Иногда так происходит и из-за политик магазинов приложений: небезопасный код просто не допустят к публикации, подчеркнул руководитель отдела перспективных технологий Positive Technologies Николай Анисеня. Каждое обновление ОС приносит новые возможности разработчикам, которые пока еще слабо исследованы белыми хакерами, но спустя время незащищенности будут найдены и там.
С ними согласен и гендиректор TelecomDaily Денис Кусков. Если говорить про уязвимости, то они есть у всех приложений. Однако качество представляемых сервисов на рынке улучшилось не только у России, но и у зарубежных игроков, отметил он.
По словам директора Ассоциации профессиональных пользователей соцсетей и мессенджеров Владимира Зыкова, раньше все были увлечены только получением прибыли и оптимизацией продукта, но сейчас этот тренд изменился — во главе угла встала безопасность. Компании активизируют защиту в том числе и из-за опасений взлома и создают резервные копии.