Число критических уязвимостей в популярных банковских приложениях за два года выросло почти в 10 раз — с 183 до 2 006 случаев. Всего с начала года эксперты выявили более 3,5 тыс. уязвимостей в 90 приложениях банков, микрофинансовых организаций и страховых компаний. Об этом пишут «Ведомости» со ссылкой на исследование компании AppSec Solutions.

По данным исследования, в 2024-м выявили 1583 уязвимости, из которых 569 относились к высокому или критическому уровню. Годом ранее общее число уязвимостей достигало 4,5 тыс., однако лишь 183 из них представляли серьёзную угрозу. В компании подчеркивают, что конкретные приложения не раскрываются, но все они размещены в App Store, Google Play и RuStore.

Как пояснил руководитель отдела анализа защищенности мобильных приложений AppSec Solutions Никита Пинаев, наиболее распространенной проблемой остается хранение чувствительных данных прямо в коде. Таких уязвимостей специалисты обнаружили 1541, и они позволяют злоумышленникам извлекать конфиденциальную информацию через декомпиляцию. По его словам, подобные уязвимости дают возможность получить доступ к инфраструктуре приложения, похитить данные пользователей и совершать операции от их имени.

Эксперты отмечают, что выявленные проблемы связаны в том числе с недостаточной проверкой кода и использованием сторонних компонентов. Руководитель отдела защиты информации InfoWatch ARMA Роман Сафиуллин указал, что разработчики часто применяют шаблонные решения и библиотеки с открытым исходным кодом без должной проверки, что приводит к унаследованным уязвимостям. Также, по его словам, из-за сжатых сроков разработки в релиз могут попадать логические ошибки и проблемы с валидацией данных.

По оценке международной группы Thales, уязвимости в финансовых сервисах являются глобальной проблемой: на атаки через API приходится около 40 тыс. инцидентов, из которых 27% связаны с финансовым сектором. Руководитель разработки PT MAZE Positive Technologies Николай Анисеня отметил, что современные сканеры выявляют широкий спектр уязвимостей, способных привести к утечке данных и финансовым потерям. Эксперт Kaspersky ICS CERT Владимир Дащенко подчеркнул, что пользователям следует регулярно обновлять приложения, так как вместе с обновлениями устраняются выявленные ошибки и уязвимости.

Напомним, что в начале апреля пользователи сообщили о крупном сбое в работе банковских сервисов и платежной инфраструктуры. Проблемы затронули эквайринг и банкоматы Сбера, а также сервисы Т-Банка, ВТБ, Ozon Банка и систему быстрых платежей. Из-за этого возникли сложности с оплатой и переводами. Дополнительно сообщалось о сбое в системе бесконтактной оплаты Vendista, куда входят ряд банков, включая ВТБ, Т-Банк и Альфа-Банк.