Мобильные приложения выходят на новый уровень. Но хакеры опережают

Мобильные приложения выходят на новый уровень. Но хакеры опережают

95% клиентов банков пользуются финтех-услугами посредством мобильных приложений — это статистика крупнейших банков России. При этом 90% мобильных приложений для ФинТех содержат серьезные уязвимости.

Такой результат показало исследование мобильных приложений, проведенное платформой AppSec.Sting компании AppSec Solutions, опубликованное в 2025 году. Уязвимостей высокого и критического уровня становится больше, несмотря на активное развитие безопасной разработки. Директор по продукту AppSec.Sting Юрий Шабалин рассказал об основных трендах в безопасности мобильных приложений в 2025 году.

— Звучит как парадокс: мобильные приложения — самый быстроразвивающийся сервис, но и самый уязвимый, почему?

— Мобильные приложения — самый молодой клиентский продукт, в отличие от веба, которому уже больше 40 лет, приложения появились лет 15 назад. Раньше они были просто витринами данных: отображали информацию, поступающую с бэкенда, и на этом всё — никакой особой логики внутри не было. Сейчас же мобильные приложения представляют собой самостоятельные, сложные системы со своими фреймворками, архитектурой, межпроцессным взаимодействием. Внутри одного приложения может быть очень сложный архитектурный код, со своими проблемами в бизнес-логике — и всё это на стороне клиента, на самом устройстве пользователя. При этом очень немногие понимают, как на самом деле устроен процесс дистрибуции мобильных приложений, то есть каким образом они попадают к пользователю. Немало возможностей хакерам предоставляет использование сторонних сервисов. Например, отправка push‑уведомлений, установка точек банкоматов на карте и многое другое.

— Возьмем, например, финтех. В чем основное отличие в области безопасности?

— Если уязвимость обнаружена на веб-сайте, срабатывает традиционная система защиты данных: ИБ-инженеры применяют наложенные средства защиты, Web Application Firewall, чтобы не дать злоумышленникам использовать уязвимость. Это своего рода «пластырь на ране». Затем нужно «обработать рану»: устранением проблемы компания занимается во внутреннем контуре. Инженеры полностью контролируют среду выполнения: это их серверы, они знают, где они находятся, кто к ним имеет доступ, как их обновлять. А в случае с приложением мы не контролируем среду, и даже если удастся выявить и оперативно вылечить уязвимость, придется ждать модерации исправленной версии и выхода обновления приложения

— Достаточно ли в распоряжении компаний средств для этого?

— В распоряжении коммерческого сектора не так много продуктов, которые позволяют выполнять проверку приложений комплексно. На сегодняшний день, единственная платформа автоматизированного анализа мобильных приложений, которая сочетает несколько видов анализа — это AppSec.Sting.

Ручной анализ мобильного приложения обычно занимает около двух дней, а платформа справляется с этим за два часа. Это автоматизированный и повторяемый процесс, который можно встроить в цикл разработки. После каждой сборки вы получаете отчёт о безопасности и понимаете, какие уязвимости есть в приложении, что именно выходит в релиз. Это значительно ускоряет анализ и сокращает затраты на обеспечение безопасности.

Кроме того, благодаря AppSec.Sting специалист по тестированию на проникновение сможет сосредоточиться на тех проблемах, которые невозможно обнаружить автоматически.

Наш продукт обеспечивает максимальное покрытие за счёт различных практик анализа. Мы смотрим на приложение со всех сторон: анализируем его в статике — исходный код, декомпилированный или восстановленный, — запускаем на устройстве, наблюдаем за его поведением, отслеживаем сетевые запросы, выясняем, куда и какие данные уходят, и как приложение взаимодействует с внешними сервисами, так называемыми third-party.

Платформа проводит и компонентный анализ: определяем, какие библиотеки используются в приложении, и оцениваем их уязвимость. То есть AppSec.Sting позволяет охватить практически все аспекты безопасности.

Реклама. ООО «СТИНГРЕЙ ТЕХНОЛОДЖИЗ», ИНН: 9731060805, Erid: 2VfnxwR48Ti