Мобильный трафик в финтех-секторе и e-commerce уже достиг 70–80%, что сделало этот канал основной точкой входа для киберпреступников. Если раньше основной фокус атак был сосредоточен на веб-ресурсах, то сегодня «центр тяжести» сместился в сторону смартфонов и конечных приложений.
Переход бизнеса в мобильную среду изменил ландшафт угроз. Мобильное приложение стало одним из ключевых инструментов для ежедневных финансовых операций пользователей, где одновременно обрабатываются и персональные данные. Это полноценный бизнес-сервис с большим массивом данных, включая платежи, персональные данные и многое другое.
Как отмечают эксперты по информационной безопасности, потенциально взлом приложения может дать доступ к данным пользователей. Проблема осложняется тем, что приложения исполняются в среде, которую разработчик не может контролировать.
«По этой причине классических методов защиты уже недостаточно: безопасность должна быть заложена в ДНК продукта на каждом этапе его жизненного цикла – принцип DevSecOps при разработке мобильных приложений важен особенно», - отмечает Юрий Шабалин, директор по продукту AppSec.Sting, вендор AppSec Solutions.
На практике злоумышленники чаще всего используют для атак на современные мобильные приложения шесть основных методов:
- Модификация приложений. Переупаковка (APK/IPA) и внедрение вредоносного кода. Хакеры обходят проверку лицензий и логику платежей, создавая «бесплатные» или мошеннические клоны популярных сервисов.
- Недоверенная среда. Запуск приложений на устройствах с Root/Jailbreak или в эмуляторах. Использование инструментов динамического анализа (Frida, Objection) позволяет злоумышленникам манипулировать логикой решения в режиме реального времени.
- Извлечение «секретов». Поиск «зашитых» API-ключей, токенов и сертификатов. Незащищенное хранение данных в логах, SharedPreferences или Keychain открывает путь к краже чувствительной информации.
- Атаки на сессии. Перехват и повторное использование токенов доступа. Отсутствие привязки сессии к конкретному устройству и слабые механизмы многофакторной аутентификации делают аккаунты уязвимыми.
- Сетевые риски. MITM-атаки на каналы связи при отсутствии SSL Pinning, а также уязвимости в API-эндпоинтах и небезопасные глубокие ссылки
- Сторонние SDK и зависимости. Риски цепочки поставок. Вредоносный код может попасть в приложение через популярные рекламные или аналитические библиотеки, обладающие избыточными разрешениями.
Для минимизации рисков эксперты предлагают практический план из четырех шагов, который позволяет компаниям системно подойти к вопросу безопасности:
- Инвентаризация и оценка рисков. Полный аудит всех используемых мобильных активов и сторонних библиотек.
- Первичный анализ. Быстрое устранение наиболее очевидных и критических уязвимостей.
- Приоритизация. Формирование бэклога исправлений на основе степени влияния на бизнес.
- DevSecOps – встраивание безопасности в процесс разработки. Переход к модели непрерывной проверки безопасности на всех этапах разработки — от написания кода до релиза.