Исследователи нашли 1541 случай, когда конфиденциальные данные хранились прямо в коде приложения.
В популярных финансовых приложениях, доступных в App Store, Google Play и RuStore, за год нашли 3555 уязвимостей, 2006 из которых получили высокий или критический уровень. Такие данные Для просмотра ссылки Войдиили Зарегистрируйся компания AppSec Solutions по итогам анализа 90 приложений из банковского сектора, микрозаймов и страхования. Названия сервисов в компании не раскрыли.
По данным AppSec Solutions, в 2023 году в таких приложениях нашли 4500 уязвимостей, но высокий или критический уровень тогда имели только 183. В 2024 году исследователи выявили 1583 уязвимости, из которых 569 отнесли к высоким или критическим. В компании отметили, что среди изученных отраслей финансовые сервисы стабильно лидируют по числу критических проблем.
Чаще всего специалисты выявляли случаи, когда чувствительная информация оказывалась прямо в коде приложения. Всего обнаружена 1541 такая уязвимость. Подобные элементы позволяют злоумышленникам с помощью декомпиляции извлекать конфиденциальные данные и упрощают взлом приложения.
Как следует из оценки компании, получив доступ к инфраструктуре владельца сервиса, злоумышленники могут похитить персональные данные и банковские реквизиты, а также авторизоваться под видом пользователя и совершать операции от его имени. Такая картина показывает, что практика безопасной разработки, при которой меры защиты встраиваются на каждом этапе проектирования и эксплуатации, пока не получила широкого распространения даже в банковских сервисах.
Проблема касается не только российского рынка. Международная технологическая группа Thales сообщала, что атаки через API привели к 40 000 инцидентов информационной безопасности. В первом полугодии 2025 года на финансовые услуги пришлись 27% всех атак, направленных на API.
Рост числа уязвимостей в отчетах не обязательно означает резкое увеличение новых ошибок в коде, считают эксперты. Часть прироста может объясняться тем, что специалисты и злоумышленники стали использовать больше инструментов для поиска слабых мест, а диагностика таких проблем стала точнее.
Современные сканеры выявляют широкий круг потенциальных уязвимостей, эксплуатация которых может привести к краже данных, компрометации аккаунтов, хищению денег, атакам на инфраструктуру и прямым финансовым потерям бизнеса. В зависимости от типа ошибки под угрозой оказываются не только сведения о клиентах, но и данные самой компании, включая серверную инфраструктуру.
Одной из ключевых причин такой ситуации эксперты называют недостаточную проверку исходного кода до попадания в релизную сборку. Риски повышают использование шаблонных решений, подключение недостаточно проверенных компонентов с открытым исходным кодом и несвоевременное обновление библиотек. Ошибка в популярной библиотеке в таком случае делает уязвимыми сразу многие приложения, которые ее используют.
Дополнительный фактор связан со сжатыми сроками разработки. В таких условиях в финальную версию могут попадать логические ошибки, проблемы с валидацией вводимых данных и другие просчеты. На ситуацию также влияют развитие инструментов для поиска уязвимостей и обычные ошибки разработки.
Пользователям рекомендуют регулярно обновлять приложения, поскольку новые версии нередко содержат патчи, закрывающие уязвимости и исправляющие ошибки в коде.
Подробнее: securitylab.ru
В популярных финансовых приложениях, доступных в App Store, Google Play и RuStore, за год нашли 3555 уязвимостей, 2006 из которых получили высокий или критический уровень. Такие данные Для просмотра ссылки Войди
По данным AppSec Solutions, в 2023 году в таких приложениях нашли 4500 уязвимостей, но высокий или критический уровень тогда имели только 183. В 2024 году исследователи выявили 1583 уязвимости, из которых 569 отнесли к высоким или критическим. В компании отметили, что среди изученных отраслей финансовые сервисы стабильно лидируют по числу критических проблем.
Чаще всего специалисты выявляли случаи, когда чувствительная информация оказывалась прямо в коде приложения. Всего обнаружена 1541 такая уязвимость. Подобные элементы позволяют злоумышленникам с помощью декомпиляции извлекать конфиденциальные данные и упрощают взлом приложения.
Как следует из оценки компании, получив доступ к инфраструктуре владельца сервиса, злоумышленники могут похитить персональные данные и банковские реквизиты, а также авторизоваться под видом пользователя и совершать операции от его имени. Такая картина показывает, что практика безопасной разработки, при которой меры защиты встраиваются на каждом этапе проектирования и эксплуатации, пока не получила широкого распространения даже в банковских сервисах.
Проблема касается не только российского рынка. Международная технологическая группа Thales сообщала, что атаки через API привели к 40 000 инцидентов информационной безопасности. В первом полугодии 2025 года на финансовые услуги пришлись 27% всех атак, направленных на API.
Рост числа уязвимостей в отчетах не обязательно означает резкое увеличение новых ошибок в коде, считают эксперты. Часть прироста может объясняться тем, что специалисты и злоумышленники стали использовать больше инструментов для поиска слабых мест, а диагностика таких проблем стала точнее.
Современные сканеры выявляют широкий круг потенциальных уязвимостей, эксплуатация которых может привести к краже данных, компрометации аккаунтов, хищению денег, атакам на инфраструктуру и прямым финансовым потерям бизнеса. В зависимости от типа ошибки под угрозой оказываются не только сведения о клиентах, но и данные самой компании, включая серверную инфраструктуру.
Одной из ключевых причин такой ситуации эксперты называют недостаточную проверку исходного кода до попадания в релизную сборку. Риски повышают использование шаблонных решений, подключение недостаточно проверенных компонентов с открытым исходным кодом и несвоевременное обновление библиотек. Ошибка в популярной библиотеке в таком случае делает уязвимыми сразу многие приложения, которые ее используют.
Дополнительный фактор связан со сжатыми сроками разработки. В таких условиях в финальную версию могут попадать логические ошибки, проблемы с валидацией вводимых данных и другие просчеты. На ситуацию также влияют развитие инструментов для поиска уязвимостей и обычные ошибки разработки.
Пользователям рекомендуют регулярно обновлять приложения, поскольку новые версии нередко содержат патчи, закрывающие уязвимости и исправляющие ошибки в коде.
Подробнее: securitylab.ru