Rambler's Top100
 
Все новости Новости отрасли

Приложения для заказа еды могут угрожать безопасности

26 июля 2018

Сервисы для заказа еды становятся все более популярными. Рынок доставки еды из ресторанов стремительно перетекает из оффлайна в онлайн. По прогнозам экспертов, рост онлайн-компоненты этого рынка составит не менее 20% в год. Однако приложения для заказа еды демонстрируют невысокий уровень безопасности.

Компания Ростелеком-Solar провела первое в России исследование защищенности мобильных приложений для заказа еды.

«Как любые мобильные приложения, сервисы для заказа еды могут содержать уязвимости. В данном случае риски связаны с тем, что приложения оперируют конфиденциальными данными пользователей. В первую очередь – реквизитами их банковских карт. Наличие уязвимостей в программном коде приложений может привести к утечке этих данных. После недавнего скандала с приложением Burger King, которое якобы ведет непрерывную видеозапись экрана, в том числе процесса ввода реквизитов банковской карты, мы решили проверить защищенность мобильных приложений для заказа еды», – говорит Даниил Чернов, руководитель направления Solar inCode компании Ростелеком-Solar.

Анализ безопасности кода выполнялся автоматически с помощью Solar inCode. Решение использует методы статического, динамического и интерактивного анализа и работает без доступа к исходному коду. По итогам анализа программа формирует отчет, где приводится список обнаруженных уязвимостей и дается общая оценка защищенности приложения.

Для участия в исследовании были выбраны популярные мобильные приложения для заказа еды – «Макдоналдс», Subway Russia, KFC, Burger King, «Тануки», «Доминос Пицца», «Папа Джонс», «Шоколадница», Pizza Hut, «Додо Пицца», Суши Wok, «СушиВёсла», «Почетный Гость», Black Star Burger, Starbucks, «Якитория», «Чайхона №1». Большинство приложений рассматривались в вариантах для мобильных операционных систем iOS и Android. Исключение составили Subway Russia (только версия для Android) и «Чайхона №1» (только версия для iOS).

При подготовке исследования декомпиляция и деобфускация приложений не производилась. Статический анализ осуществлялся в отношении бинарного кода.

Практически все Android-приложения содержат те или иные ошибки в реализации шифрования и передачи данных – небезопасный алгоритм дополнения, «пустой метод», когда проверяются не все поля сертификата и т.д. Более чем в половине проверенных приложений есть недекларированная возможность. Наконец, очень часто встречается незащищенное хранение паролей.

Явного лидера по уровню защищенности среди Android-приложений выделить не удалось – первое место поделили Black Star Burger, Pizza Hut и KFC, с минимальным отрывом к ним примкнуло «СушиВёсла». Количество уязвимостей среднего уровня у них примерно такое же, как и у конкурентов, но за счет отсутствия известных критических уязвимостей перечисленные приложения достаточно безопасны с точки зрения защиты пользовательских данных, а также устойчивы к хакерским атакам.

«Доминос Пицца» также не содержит известных критических уязвимостей, но высокое число вхождений уязвимостей среднего уровня не позволило ему бороться за более высокое место в рейтинге безопасных приложений. Неплохой результат показали приложения «Шоколадница» и «Додо Пицца». «Папа Джонс», «Почетный Гость», Суши Wok, «Тануки», Burger King, Subway Russia и Starbucks находятся примерно одном уровне защищенности и демонстрируют результат выше среднего по отрасли.

Приложения «Якитория» и «Макдоналдс» содержат в исходном коде более 5 вхождений критических уязвимостей, поэтому их уровень защищенности нельзя назвать удовлетворительным.

Приложения под iOS демонстрируют низкий уровень защищенности – в основном за счет высокого числа вхождений уязвимостей среднего уровня. Также нет ни одного приложения, в котором не встречалось бы критических уязвимостей.

Практически все приложения под iOS имеют слабый алгоритм хеширования, около трети – слабый алгоритм шифрования. В большинстве исследуемых приложений обнаружились такие потенциальные уязвимости, как использование метода openURL, использование NSLog и использование буфера обмена.

Превысить средний балл по отрасли удалось только «Тануки». Максимально близко подошел к этой отметке Starbucks. Количество критических и среднего уровня уязвимостей в остальных приложениях не позволяет назвать их уровень защищенности удовлетворительным.

Источник: Solar Security

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.