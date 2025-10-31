Центр цифровой экспертизы Роскачества совместно с группой компаний «Солар» провели масштабное исследование мобильных приложений популярных сервисов, включая доставку готовой еды, онлайн-аптеки и маркетплейсы. В рамках анализа было рассмотрено около 70 приложений на платформах iOS и Android с рейтингом выше 4 баллов и количеством скачиваний от 500 тысяч, среди которых приложения онлайн-аптек, охватывающие аудиторию свыше 26,5 миллиона пользователей.

Критическая уязвимость выявлена у 93% приложений онлайн-аптек. Этим дефектом оказалась небезопасная собственная реализация SSL, которая позволяет нарушать подлинность сертификатов и устанавливать защищенное соединение без должной проверки. Это дает хакерам возможность организовать MITM-атаку, перехватывать или подменять передаваемые данные, что ведет к компрометации важной информации. Например, если приложение по ошибке принимает любой сертификат или отключает валидацию, злоумышленник в публичной или скомпрометированной Wi-Fi-сети может подменить сертификат и получить токены, пароли и другие данные, а также исказить информацию, нарушая ее целостность.

В ходе исследования выделено пять основных типов уязвимостей:

Уязвимости в работе с DNS, позволяющие перенаправлять трафик на поддельные серверы и перехватывать данные.

Небезопасная рефлексия, дающая возможность злоумышленникам запускать скрытые методы приложения, обходить проверки доступа и внедрять вредоносный код, что приводит к утечкам и повреждению данных.

Небезопасная реализация SSL, описанная выше.

Использование слабых алгоритмов хеширования, что облегчает восстановление паролей после компрометации базы данных.

Передача данных по незашифрованному протоколу HTTP, что также позволяет осуществлять MITM-атаки и перехватывать сетевой трафик.

Результаты исследования демонстрируют, что безопасность данных пользователей и приложений требует системного подхода и повышенного внимания не только на этапе готового продукта, но и с первых этапов разработки программного обеспечения (ПО). Эксперты рекомендуют разработчикам внедрить цикл безопасной разработки (Secure SDLC) в соответствии с ГОСТ и международными стандартами OWASP. Таким образом комплексный подход позволит защитить миллионы пользователей от MITM-атак и утечек конфиденциальной информации, обеспечивая доверие к цифровым сервисам.