Компания AppSec Solutions с помощью системы AppSec.Sting протестировала 87 самых популярных мобильных приложений категории «Образование» из российских и зарубежных магазинов приложений: сервисы для репетиторов, самоучители по иностранным языкам, электронные дневники и учебники.
Эксперты обнаружили около 2,5 тысяч уязвимостей, из них 1065 (43%) — высокого и критического уровня риска. По сравнению с аналогичным исследованием годом ранее общее число уязвимостей выросло на 41% (с 1773 до 2500), а количество дефектов высокого и критического уровня — на 56% (с 683 до 1065). Доля критических находок в выборке также увеличилась: с 39% до 43%.
«Образовательные приложения — одна из самых востребованных категорий, особенно в период экзаменов. При этом часть разработчиков не встраивает регулярную проверку безопасности в релизный цикл: безопасности на этапе разработки уделяется недостаточно внимания, а обновления выходят без должного контроля. Рост доли критических уязвимостей это подтверждает», — рассказал Никита Пинаев, руководитель продукта AppSec.Sting компании AppSec Solutions.
Самая распространённая критическая уязвимость в исследованных приложениях — хранение чувствительных данных в коде приложения. Речь о паролях, токенах, ключах шифрования и параметрах тестовой среды — сведениях, которые могут использоваться для атак как на пользователей, так и на инфраструктуру сервиса.
Ещё одна частая уязвимость высокого уровня — ArbitraryActivityStart, запуск произвольных Activity (внутренних экранов приложения). Она позволяет злоумышленнику обращаться к закрытым компонентам приложения напрямую — например, чтобы изменить настройки. Это может привести к утечке данных и потере контроля над аккаунтом пользователя.
Также во многих образовательных приложениях встречается уязвимость «Отсутствие проверки на подключение отладчика». Её эксплуатация позволяет подключать к приложению дополнительные инструменты, получать доступ к его коду и в дальнейшем — взламывать само приложение.