По каким критериям отбирали сервисы?
Были проанализированы около 70 ресурсов популярных сервисов доставки готовой еды, онлайн-аптек, маркетплейсов по продаже товаров для дома и дачи, бытовой техники и электроники, сервисов доставки цветов. Эксперты сфокусировались на приложениях, имеющих рейтинг более 4 баллов и набравших от 500 тысяч скачиваний на сентябрь 2025 года.
Наиболее массовыми стали сервисы доставки готовой еды, которыми суммарно пользуются около 50 млн человек, и приложения магазинов электроники и бытовой техники, которые охватывают более 72 млн покупателей. В категории онлайн-аптек максимальный охват аудитории составил свыше 26,5 млн пользователей, в категории DIY были представлены сервисы, скачанные более 15 млн раз.
Мошенники и хакеры значительно продвинулись в технологиях обмана пользователей. Социальная инженерия, вмешательство в интернет-трафик, поддельные страницы авторизации — это лишь верхушка айсберга. Зачастую пользователи даже не понимают, что стали жертвой атаки, пока не станет слишком поздно.
Сегодня обязательным инструментом для повседневной жизни должна стать не просто цифровая грамотность, а тотальное недоверие к входящим коммуникациям. Это касается не только получаемого контента, но и любых внешних сетей, к которым мы в спешке или при отсутствии альтернатив стремимся подключиться. Разграничивайте свою цифровую жизнь, не складывайте все данные в одну «корзину». Учитесь разделять информацию и входящий контент по степени важности. Это не защитит вас от таргетированной атаки, увы, но максимально усложнит работу хакерам. Исходя из простой логики и финансовых затрат, мошенники всегда идут по пути наименьшего сопротивления.
Пять главных угроз: результаты анализа
Эксперты протестировали приложения, работающие с поддержкой операционной системы Android, с помощью модуля SAST, входящего в состав ПО Solar appScreener. Для выявления уязвимостей и недекларированных возможностей (НДВ) использовались технологии автоматического бинарного анализа, без осуществления реверс-инжиниринга (декомпиляции исходного кода).
Аналитики выявили пять основных категорий уязвимостей, которые позволяют киберпреступникам реализовать MITM-атаки (Man in the Middle, «человек посередине») и приводят к передаче конфиденциальной информации, личных и финансовых данных в руки злоумышленников.
Обращение к DNS
Во всех исследованных приложениях сервисов доставки еды, онлайн-аптек, сервисов по заказу товаров для дома и дачи, а также в 75% приложений маркетплейсов электроники и бытовой техники эксперты выявили обращение к DNS (Domain Name System, система доменных имен). Эксплуатация этой уязвимости позволяет хакерам перенаправить трафик на поддельные серверы и перехватить данные, создает риск компрометации пользовательских данных и загрузки вредоносного контента. Например, если пользователь открывает приложение с подобной уязвимостью, есть риск, что из-за подмены DNS-записи запрос может быть направлен на поддельный сервер, внешне полностью схожий с оригиналом. При вводе логина и пароля пользователь таким образом передает их злоумышленнику.
Небезопасная рефлексия
Эксплуатация этого недостатка ПО позволяет злоумышленнику вызывать внутренние или приватные методы приложения, обходить проверки доступа и выполнять произвольный вредоносный код, что ведет к утечке данных и нарушению целостности работы софта. Например, приложение подгружает и вызывает внутренние методы по имени, полученному из пользовательского ввода.
Злоумышленник подставляет имя скрытого системного метода путем перебора и получает доступ к функциям, которые должны быть недоступными, например, чтение данных всех зарегистрированных пользователей в приложении. Эта уязвимость была выявлена у подавляющего большинства исследованных приложений, реже (в 75% случаев) в приложениях маркетплейсов для заказа электроники и бытовой техники.
Небезопасная собственная реализация SSL
Уязвимость позволяет нарушить проверку подлинности сертификатов защиты данных и установить защищенное соединение без должной валидации. При эксплуатации этой уязвимости хакеры также могут выполнить MITM-атаку, перехватить или подменить передаваемые данные, что ведет к компрометации конфиденциальной информации. Например, если разработчик приложения реализовал собственную проверку сертификатов и по ошибке принимает любой сертификат (или отключил валидацию), в результате при подключении через публичную или скомпрометированную сеть Wi-Fi злоумышленник подменяет сертификат и получает все передаваемые данные, включая токены, пароли и другую конфиденциальную информацию, либо подделывает перехваченную информацию, тем самым нарушая целостность передаваемых данных.
Наиболее уязвимыми сервисами по этой категории стали приложения онлайн-аптек (93%), сервисы заказа готовой еды, цветов и подарков (75%), DIY-приложения (72%). При этом подобная уязвимость была выявлена только в 50% исследованных приложений маркетплейсов электроники и бытовой техники.
Использование слабых алгоритмов хеширования
Уязвимость создает риск восстановления паролей при компрометации базы данных, а также позволяет подделывать данные из-за возможностей коллизий, что может привести к нарушению целостности и конфиденциальности информации. Например, если пароли пользователей хранятся в базе данных в виде MD5-хешей без «соли», то после компрометации базы злоумышленник может легко восстановить исходные пароли с помощью так называемых «радужных таблиц» (предварительно вычисленных таблиц для обращения криптографических хеш-функций) и получить доступ к учетным записям.
Эксперты отмечают, что этот недостаток ПО выявлен более чем в 75% исследованных приложений во всех категориях.
«Соль» — это дополнительная случайная строка, которую добавляют к паролю пользователя перед тем, как зашифровать пароль. Если пароли в базе данных сохранены без использования «соли», то их хеши будут идентичны — хакеры могут это обнаружить и быстро подобрать пароли.
Использование незащищенного протокола HTTP
Если в приложении вместо HTTPS используется HTTP, то злоумышленники также получают возможность реализовать MITM-атаку. В этом случае возможна подмена данных, раскрытие передаваемой информации, что приводит к утечке конфиденциальных данных и нарушению принципа конфиденциальности в информационной безопасности. Например, если приложение передает токены авторизации по протоколу HTTP, то хакер, подключившийся к той же сети Wi-Fi, может перехватить весь сетевой трафик, включая токен авторизации. В результате он сможет войти в аккаунт пользователя без пароля.
Выводы и рекомендации для разработчиков
По итогам исследования были выявлены критичные уязвимости, которые открывают хакерам легкий доступ к самому ценному — личной, финансовой и конфиденциальной информации пользователей. Наибольшее беспокойство вызывает тот факт, что уязвимыми оказались приложения, охватывающие миллионы людей. Безусловно, аудитория исследованных сервисов пересекается, но в случае потенциальных утечек данных из нескольких приложений злоумышленники получают мощный инструмент для обогащения баз данных и последующих атак против пользователей и бизнеса.
Как отмечают эксперты Роскачества и «Солара», результаты исследования демонстрируют, что безопасность данных пользователей и приложений требует системного подхода и повышенного внимания не только на этапе готового продукта, но и с первых этапов разработки ПО. Специалисты рекомендуют разработчикам внедрить цикл безопасной разработки (Secure SDLC) в соответствии с ГОСТ и международными стандартами OWASP. Таким образом комплексный подход позволит защитить миллионы пользователей от MITM-атак и утечек конфиденциальной информации, обеспечивая доверие к цифровым сервисам.
