Многие популярные приложения для мобильных игр содержат критические уязвимости, из-за которых происходят утечки персональных данных, а также кража денег со счетов пользователей. Об этом говорится в исследовании российского разработчика AppSec Solutions.
Часть игровых приложений хранят чувствительную информацию пользователей в открытом виде, включая пароли и токены. В других не было проверки целостности, что повышает вероятность появления поддельных версий приложений.
Эксперты выделяют три основные проблемы безопасности, обнаруженные в мобильных играх.
Избыточное доверие к клиентской логике
В значительной части проанализированных приложений критически важные механики, включая расчёт наград, прогресса и внутриигровых ресурсов, реализованы на стороне клиента без полноценной серверной валидации. Наличие подобных дефектов позволяет осуществлять модификацию данных в памяти, подмену локального состояния и повторное воспроизведение сетевых запросов. Эксплуатация данных уязвимостей приводит к нарушению игровой экономики, снижению честности игрового процесса и негативно сказывается на удержании пользователей и монетизации.
Небезопасное хранение данных и недостаточная защищённость сетевого взаимодействия
В ряде игр чувствительные данные хранились локально без применения механизмов шифрования и контроля целостности. Дополнительно были выявлены недостатки в защите сетевого канала, включая отсутствие дополнительных проверок подлинности запросов и защит от повторного воспроизведения. Данные уязвимости создают предпосылки для подмены информации, несанкционированного доступа к пользовательским данным и автоматизации мошеннических сценариев.
Отсутствие эффективной защиты от реверс-инжиниринга и модификации приложения
Многие приложения поставлялись без обфускации кода, проверок целостности и базовых механизмов противодействия анализу и модификации. Это существенно упрощает изучение бизнес-логики, извлечение конфиденциальных параметров и распространение модифицированных клиентов, а также ускоряет эксплуатацию иных уязвимостей.
Эти и другие проблемы свидетельствуют о недостаточном внимании к вопросам безопасности при разработке мобильных игр. На практике такие дефекты трансформируются в значимые бизнес-риски, включая финансовые потери, рост мошенничества и репутационные издержки.
Как защитить свои персональные данные?
1. Устанавливайте игры только из официальных источников.
Загрузка приложений из сторонних магазинов и неофициальных сайтов значительно повышает риск установки модифицированных или вредоносных версий игр.
2. Осторожно относитесь к модам, читам и «взломанным» версиям.
Использование подобных решений часто приводит не только к блокировке аккаунта, но и к утечке личных данных или заражению устройства.
3. Ограничивайте разрешения приложений.
Предоставляйте игре только те разрешения, которые необходимы для её работы, и периодически пересматривайте их в настройках устройства.
4. Обновляйте игры и операционную систему.
Обновления нередко содержат исправления уязвимостей и повышают общий уровень безопасности приложения.
5. Не используйте одинаковые пароли и учётные данные.
Для игровых аккаунтов рекомендуется использовать уникальные пароли и, при возможности, включать дополнительные механизмы защиты.