Rambler's Top100
Реклама
 
Все новости Новости отрасли

Как безопасно купить одежду?

15 марта 2019

Компания «Ростелеком-Solar» представила исследование защищенности мобильных приложений для покупки одежды. В мобильных приложениях 10 торговых марок обнаружен ряд критических уязвимостей, которые  могут привести к утрате конфиденциальности обрабатываемых приложениями данных, в том числе информации платежных карт и паролей от учетных записей пользователей.

Популярность сервисов для покупки одежды через мобильные приложения с каждым годом набирает обороты. По оценкам экспертов аналитического агентства Data Insight, за первые 3 квартала 2018 года онлайн-ритейлеры одежды и обуви практически половину своей прибыли (47%) получили из мобильных приложений. Соответственно, защищенность этих приложений становится все более серьезным вопросом, поскольку пользователи доверяют им данные банковских карт.

Даниил Чернов, руководитель направления Solar appScreener компании Ростелеком-Solar, отмечает: «Значимость защищенности мобильных приложений ретейлеров трудно переоценить, ведь они оперируют платежными данными, компрометация и утечка которых способна нанести колоссальный финансовый ущерб пользователям и репутационный – бренду. В связи с ежегодным всплеском покупательской активности в начале марта мы посчитали необходимым проверить уровень защищенности мобильных приложений для покупки одежды».

Для сравнения уровня защищенности были выбраны популярные мобильные приложения для покупки одежды – MANGO, ASOS, SHEIN, bonprix, Wildberries, H&M, KUPIVIP, Bershka, Joom и Lamoda. Все приложения рассматривались в вариантах для мобильных операционных систем iOS (Apple) и Android.

Более чем в 85% Android-приложений, имеющих критические уязвимости, содержится уязвимость, используя которую, злоумышленник может нарушить конфиденциальность соединения и получить доступ к такой информации, как, например, данные банковских карт пользователя. 9 из 10-ти приложений для ОС Android потенциально допускают внутреннюю утечку детальной информации о конфигурации системы, которая может быть использована внутренним злоумышленником для разработки плана атаки.

Самыми защищенными Android-версиями приложений для покупки одежды признаны MANGO, ASOS и SHEIN. Они не содержат ни одной критической уязвимости. За ними следуют приложения bonprix, Wildberries, H&M, KUPIVIP и Bershka. Они находятся примерно на одном уровне защищенности и демонстрируют результат выше среднего по отрасли. Меньше всего баллов за уровень защищенности получили приложения Joom и Lamoda, в каждом из которых критические уязвимости встречаются 5 раз. Итоговый результат этих приложений – 2.2 балла из 5, что, впрочем, примерно соответствует среднему показателю по рынку.

Интересно, что среди iOS-версий исследованных приложений нет ни одного, удовлетворяющего хотя бы среднему по отрасли показателю уровня защищенности. Каждое из исследованных iOS-приложений содержит критические уязвимости. Кроме того, частота их обнаружения в коде на один-два порядка выше, чем в версиях для Android. Наименьшее количество уязвимостей содержат iOS-приложения торговых марок bonprix, Wildberries, ASOS и Bershka.

Все исследованные iOS-приложения для покупки одежды используют устаревшие хеш-функции (например, MD5 или SHA-1), которые не обеспечивают достаточно стойкого шифрования. Хотя эксплуатация этой уязвимости является непростой задачей, схемы атак хорошо известны, а в случае успеха злоумышленник может получить доступ к аккаунту пользователя. Кроме того, каждое из этих приложений содержит уязвимости, ведущие к тому, что внешний или внутренний злоумышленник может получить избыточную информацию об устройстве приложения и с помощью данной информации спланировать атаку.

Анализ безопасности кода осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Читайте также:

«Ростелеком» и Росатом расширяют сотрудничество в области цифровых проектов в Арктике

"Ростелеком" и НОТА будут совместно продвигать цифровые продукты для бизнеса

В России создадут импортонезависимые ПАК для фармотрасли

Подведены итоги реализации проекта УЦН 2.0 в 2023 году

C3 Solutions стала официальным поставщиком инженерной инфраструктуры для дата-центров «Ростелеком-ЦОД»

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.