Центр цифровой экспертизы «Роскачества» и ГК «Солар» провели совместное исследование мобильных приложений, опубликованных на платформах iOS и Android. Были проанализированы около 70 ресурсов популярных сервисов доставки готовой еды, онлайн-аптек, маркетплейсов по продаже товаров для дома и дачи, бытовой техники и электроники, сервисов доставки цветов.
Исследователи сфокусировались на приложениях, имеющих рейтинг более 4 баллов и набравших от 500 000 скачиваний на сентябрь 2025 года. Наиболее массовыми стали группа сервисов доставки готовой еды, которыми суммарно пользуются около 50 млн человек, и приложения магазинов электроники и бытовой техники, которыми пользуются более 72 млн покупателей. В категории онлайн-аптек максимальный охват аудитории составил свыше 26,5 млн пользователей, в категории DIY были представлены сервисы, скачанные более 15 млн раз.
Результатом стало выявление пяти основных категорий уязвимостей, которые позволяют киберпреступникам реализовать MITM-атаки (man in the middle, «человек посередине») и приводят к передаче конфиденциальной информации, личных и финансовых данных в руки злоумышленников.
Во всех исследованных приложениях сервисов доставки еды, онлайн-аптек, сервисов по заказу товаров для дома и дачи, а также в 75% приложений маркетплейсов электроники и бытовой техники эксперты выявили обращение к DNS. Эксплуатация этой уязвимости позволяет хакерам перенаправить трафик на поддельные серверы и перехватить данные, создает риск компрометации пользовательских данных и загрузки вредоносного контента.
Например, если пользователь открывает приложение с подобной уязвимостью, есть риск, что из-за подмены DNS-записи запрос может быть направлен на поддельный сервер, внешне полностью похожий на оригинал. При вводе логина и пароля пользователь таким образом передает их злоумышленнику.
Второй из наиболее распространенных уязвимостей стала небезопасная рефлексия. Эксплуатация этого недостатка ПО позволяет злоумышленнику вызывать внутренние или приватные методы приложения, обходить проверки доступа и выполнять произвольный вредоносный код, что ведет к утечке данных и нарушению целостности работы софта. Например, приложение подгружает и вызывает внутренние методы по имени, полученному из пользовательского ввода. Злоумышленник подставляет имя скрытого системного метода путем перебора и получает доступ к функциям, которые должны быть недоступными, например, чтение данных всех зарегистрированных пользователей в приложении. Эта уязвимость была выявлена у подавляющего большинства исследованных приложений, реже – в 75% случаев – в приложения маркетплейсов для заказа электроники и бытовой техники.
Небезопасная собственная реализация SSL замыкает тройку самых распространенных уязвимостей. Она позволяет нарушить подлинности сертификатов защиты данных и установить защищенное соединение без должной валидации. При эксплуатации этой уязвимости хакеры также могут выполнить MITM-атаку, перехватить или подменить передаваемые данных, что ведет к компрометации конфиденциальной информации. Например, если разработчик приложения реализовал собственную проверку сертификатов и по ошибке принимает любой сертификат (или отключил валидацию). В результате при подключении через публичную или скомпрометированную сеть Wi-Fi злоумышленник подменяет сертификат и получает все передаваемые данные, включая токены, пароли и другую конфиденциальную информацию либо подделывает перехваченную информацию, тем самым нарушая целостность передаваемых данных.
Наиболее уязвимыми сервисами по этой категории стали приложения онлайн-аптек (93%), сервисы заказа готовой еды, цветов и подарков (75%), DIY-приложения (72%). При этом подобная уязвимость была выявлена только в 50% исследованных приложений маркетплейсов электроники и бытовой техники.
Использование слабых алгоритмов хеширования создает риск восстановления паролей при компрометации базы данных, а также позволяет подделывать данные из-за возможностей коллизий, что может привести к нарушению целостности и конфиденциальности информации. Например, если пароли пользователей хранятся в базе данных в виде MD5-хешей без «соли». После компрометации базы данных, злоумышленник легко восстанавливает исходные пароли с помощью т.н. «радужных таблиц» (предварительно вычисленные таблицы для обращения криптографических хеш-функций) и получает доступ к учетным записям. Эксперты отмечают, что отмеченный недостаток ПО выявлен в более 75% исследованных приложений во всех категориях.
В пятерку самых распространенных уязвимостей вошло использование незащищенного протокола HTTP. Если в приложении вместо HTTPS используется HTTP, то злоумышленники также получают возможность реализовать MITM-атаку. В этом случае возможна подмена данных, раскрытие передаваемой информации, что приводит к утечке конфиденциальных данных и нарушению принципа конфиденциальности в информационной безопасности. Например, если приложение передает токены авторизации по протоколу HTTP, то хакер, подключившийся к той же сети Wi-Fi, может перехватить весь сетевой трафик, включая токен авторизации. В результате он сможет войти в аккаунт пользователя без пароля.
По итогам исследования эксперты отметили, что безопасность данных пользователей и приложений требует системного подхода и повышенного внимания не только на этапе готового продукта, но и с первых этапов разработки ПО. Специалисты рекомендуют разработчикам внедрить цикл безопасной разработки (Secure SDLC) в соответствии с ГОСТ и международными стандартами OWASP. Таким образом комплексный подход позволит защитить миллионы пользователей от MITM-атак и утечек конфиденциальной информации, обеспечивая доверие к цифровым сервисам.
