Более 30% уязвимостей высокого и критического уровня. Это может привести к утечкам данных.
Компания AppSec Solutions подвела итоги исследования за 2024 года мобильных приложений с помощью продукта Стингрей.
Мониторингу подверглись приложения в категории «финансы». В общей сложности, платформа для анализа Стингрей проверила 95 приложений, как правило, это продукты банков, а также микрокредитования и страхования.
По сравнению с 2023 годом, количество уязвимостей программного обеспечения сократилось, однако процент серьезных проблем в ПО стал выше.
В ходе исследования было обнаружено 1583 уязвимости, из них больше трети – 569 – критического и высокого. Для сравнения, в 2023 в приложениях для финансов уязвимостей в целом было больше, около 4,5 тысяч, однако только 183 из них были действительно опасными.
- В сфере финтех на мобильные приложения распространяются требования регуляторов. Если у тебя приложение финансовой организации, то ты обязан хотя бы дважды в год проходить пентест и устранять проблемы. Владельцы таких приложений финансово заинтересованы в их защищенности. В то же время, мы видим, что появляются уязвимости, которых раньше не было, а это означает, что киберзащита – это ежедневная необходимость, поскольку обнаруженные уязвимости при наличии у злоумышленников определенной квалификации могут привести к несанкционированному доступу к данным пользователей.
Одна из часто встречающихся уязвимостей в финтех-приложениях – хранение секретов для доступа к сторонним сервисам в открытом виде. Эта проблема встречается в исследовании более 60 раз, и может теоретически привести к доступу в сторонние сервисы от имени приложения, что может привести к прямым финансовым или репутационным потерям для компании. Среди распространенных ошибок исследователи отмечают хранение чувствительной информации в приватных файлах, хранение найденной чувствительной информации в приложении, попадание текста из пользовательского ввода в файлы приложения, и другие существенные проблемы.
Для сравнения, в 2023 основными и наиболее критичными уязвимостями были небезопасная конфигурация сетевого взаимодействия, приложения разрешали соединение по незащищенному протоколу. Было также выявлено хранение чувствительной информации в исходном коде финансовых приложений.
Хотя, отмечают эксперты, среди исследованных приложений есть и те, где не было найдено уязвимостей вообще. Как правило, это мобильные приложения крупнейших банков, которые давно и активно применяют практики DevSecOps.
Компания AppSec Solutions подвела итоги исследования за 2024 года мобильных приложений с помощью продукта Стингрей.
Мониторингу подверглись приложения в категории «финансы». В общей сложности, платформа для анализа Стингрей проверила 95 приложений, как правило, это продукты банков, а также микрокредитования и страхования.
По сравнению с 2023 годом, количество уязвимостей программного обеспечения сократилось, однако процент серьезных проблем в ПО стал выше.
В ходе исследования было обнаружено 1583 уязвимости, из них больше трети – 569 – критического и высокого. Для сравнения, в 2023 в приложениях для финансов уязвимостей в целом было больше, около 4,5 тысяч, однако только 183 из них были действительно опасными.
- В сфере финтех на мобильные приложения распространяются требования регуляторов. Если у тебя приложение финансовой организации, то ты обязан хотя бы дважды в год проходить пентест и устранять проблемы. Владельцы таких приложений финансово заинтересованы в их защищенности. В то же время, мы видим, что появляются уязвимости, которых раньше не было, а это означает, что киберзащита – это ежедневная необходимость, поскольку обнаруженные уязвимости при наличии у злоумышленников определенной квалификации могут привести к несанкционированному доступу к данным пользователей.
Одна из часто встречающихся уязвимостей в финтех-приложениях – хранение секретов для доступа к сторонним сервисам в открытом виде. Эта проблема встречается в исследовании более 60 раз, и может теоретически привести к доступу в сторонние сервисы от имени приложения, что может привести к прямым финансовым или репутационным потерям для компании. Среди распространенных ошибок исследователи отмечают хранение чувствительной информации в приватных файлах, хранение найденной чувствительной информации в приложении, попадание текста из пользовательского ввода в файлы приложения, и другие существенные проблемы.
Для сравнения, в 2023 основными и наиболее критичными уязвимостями были небезопасная конфигурация сетевого взаимодействия, приложения разрешали соединение по незащищенному протоколу. Было также выявлено хранение чувствительной информации в исходном коде финансовых приложений.
Хотя, отмечают эксперты, среди исследованных приложений есть и те, где не было найдено уязвимостей вообще. Как правило, это мобильные приложения крупнейших банков, которые давно и активно применяют практики DevSecOps.
