Логотип
Баннер в шапке 1
Баннер в шапке 2
2025/05/23 10:47:09

Безопасность мобильных приложений


Содержание

[Свернуть]

Основная статья: Мобильные приложения

Безопасность Android

Основная статья: Безопасность Android

Безопасность iOS

Основная статья: Безопасность iOS

Хроника

2025

Объем российского рынка услуг по защите мобильных приложений от реверс-инжиниринга оценен в 1,5 млрд рублей

Объем рынка услуг по защите мобильных приложений от реверс-инжиниринга в России достигает 1,5 млрд рублей. Причем недостаточная защищенность кода является одной из самых распространенных проблем современного ПО. Об этом говорится в материале Positive Technologies, опубликованном 21 мая 2025 года.

Реверс-инжиниринг дает возможность восстановить код или получить представление о принципах работы продукта и заложенной в него логике. Метод позволяет злоумышленникам искать уязвимости в программных продуктах и похищать интеллектуальную собственность разработчиков, а также создавать клоны приложений, почти не отличимые от оригиналов, для последующей кражи денег или персональных данных. Для бизнеса взлом любого сервиса, доступного внешним пользователям, является потенциальной точкой входа в корпоративный периметр, служит плацдармом для последующего развития атак и несет большое количество самых разных рисков.

Оценка объема российского рынка услуг по защите мобильных приложений от реверс-инжиниринга составляет 1,5 миллиарда рублей

«
Подавляющее большинство современных приложений — это сложные системы с большой поверхностью для атак. Эти программы, как правило, могут хранить персональные, учетные, платежные данные, поэтому всегда находятся в фокусе внимания атакующих, — говорит Ольга Ринглер, руководитель группы исследовательских проектов Positive Technologies.
»

Как отмечают специалисты, реверс-инжиниринг невозможно запретить или исключить: хакер всегда сможет модифицировать приложения, читать их память или использовать фрагменты кода на свое усмотрение. Однако этот процесс можно усложнить, обеспечив защиту кода, подчеркнули в Positive Technologies.[1]

Обнаружена очередная мошенническая схема, позволяющая получить удаленный доступ к смартфону

Wildberries и Russ предупредили о мошеннической схеме с рассылкой вредоносных вложений. Главная цель злоумышленников - установить на смартфон клиента программу, которая позволяет получить удаленный доступ к устройству. Об этом 25 апреля 2025 года сообщила пресс-служба члена комитета ГосДумы РФ по информационной политике, информационным технологиям и связи Антона Немкина. Подробнее здесь.

2024

Почти 30 тысяч уязвимостей обнаружено в российских мобильных приложениях

AppSec Solutions 19 мая 2025 года поделилась итогами исследования безопасности мобильных приложений в отечественных сторах.

Почти 30 тысяч уязвимостей обнаружили специалисты AppSec Solutions в российских мобильных приложениях.Юрий Волошин, Битрикс24: ИИ-пирамида для бизнеса. Почему бизнесу стоит обратить внимание на свою ИИ-зрелость 10.9 т

В выборку вошли приложения, входящие в ТОП-100 по скачиванию в каждой тематической категории. Первые выводы – 88,6% приложений содержат уязвимости уровня critical и high, что говорит о растущей опасности хакерских атак на мобильные приложения.

Так в 2024 было выявлено 29952 уязвимостей, среди них 83 критически опасных и 8887 высокого уровня серьезности. Для сравнения, в 2023 году при общем количестве в 41493 уязвимости самых опасных было обнаружено всего 22, и высокого уровня серьезности – 2283. Это, по мнению экспертов AppSec Solutions, говорит о том, что при росте качества анализа кибербезопасности разработчики мобильных приложений зачастую не успевают или не умеют качественно противостоять угрозам хакерских атак, в первую очередь, за счет дефицита специалистов по DevSecOps.

«
За год был доработан сервис «Стингрей», он стал гораздо точнее находить и приоритезировать уязвимости, исключая ложные срабатывания. Это облегчает работу AppSec-инженеров, поскольку у них освобождается время на работу с действительно серьезными проблемами. Однако и количество этих проблем за последний год выросло в несколько раз, а с учетом появления новых видов угроз, это серьезный риск для владельцев приложений. Несмотря на серьезность последствий, с которыми регулярно сталкиваются компании, разработчики по-прежнему совершают те же ошибки, в первую очередь, хранят чувствительные данные, такие как пароли, индентификаторы, токены в открытом виде, облегчая работу злоумышленников, - рассказал директор по продукту «Стингрей» компании AppSec Solutions Юрий Шабалин.
»

Команда «Стингрей» проанализировала 1675 мобильных приложений в 18 тематических категориях. «Чемпионами» по общему количеству выявленных проблем оказались приложения в категории «Медицинские сервисы», однако большинство из уязвимостей в этой категории не носят критический характер. На втором месте – «Цифровые сервисы», самая разнообразная категория, куда входят приложения телеком-операторов, почта, платформы для вебинаров, сервисы конференций. За счет «разношерстности», рассказывают исследователи, в этой категории много приложений, где к безопасности разработчики отнеслись довольно прохладно, оставив массу недочетов.

Более 3000 конфиденциальных ключей, позволяющих хакерам проникать в систему компаний, обнаружили в российских мобильных приложениях

Платформа Стингрей проанализировала 1870 мобильных приложений для Android в отечественных сторах. В результате были найдены тысячи конфиденциальных ключей, которые позволяют злоумышленникам получить доступ к управлению приложением. Завладев таким «секретом», хакеры могут получить управление над самим приложением и использовать его против его же владельцев. Например, разослать фишинговые ссылки пользователям. Об этом AppSec Solutions (АппСек Солюшенс) сообщил 4 апреля 2025 года.

Целью исследования было оценить масштаб хранения чувствительных данных в открытом доступе в российских мобильных приложениях. Анализ провели в течение 2024 года. В общей сложности был обнаружен 3181 секрет.

«
Есть секреты, с помощью которых можно серьезно нарушить работу компаний. Это уже является проблемой. Секреты от сторонних сервисов хранятся в открытом виде и получить их злоумышленникам ничего не стоит. Используя их, к примеру, можно отправить PUSH-уведомления всем пользователям, допустим, рекламу сервиса-конкурента или потратить бюджет компании, если секрет дает возможность обращаться к платному сервису. Счет придет в конце месяца. Если есть ключ от базы данных, и она открыта на запись, любой человек может записать что-то в публичную базу компании, а это уже серьезный риск штрафов от РКН, которые стали существенно выше с декабря 2024, - рассказал владелец продукта Стингрей компании AppSec Solutions Юрий Шабалин.
»

Исследование российского вендора полностью подтверждает результаты опубликованного исследования компании Cybernews мобильных приложений на базе iOS в США. Согласно ему, более 156 тысяч приложений в App Store от Apple содержат в своих исходных кодах свыше 815 тысяч секретных сведений, включая платёжные системы, API, а также ключи к облачному хранилищу. В частности, сотни конфиденциальных ключей могли быть использованы хакерами для компрометации личных данных пользователей. В AppSec Solutions отметили, что на территории Российской Федерации мобильные приложения на платформе iOS имеют одну существенную особенность: из-за санкций вносить в них исправления при обнаружении уязвимостей сложнее, чем в случае с приложениями на Android.

2023

Выявлены приложения с вирусом-шпионом для кражи денег у влюбленных

27 октября 2023 года компания F.A.C.C.T. сообщила о еще одной версии мошеннической схемы Fake Date (с англ. — фейковое свидание). Теперь преступники пытаются украсть у жертвы деньги еще до покупки билетов в кино или театр под видом оплаты домашнего интернета или заказа такси, используя при этом фейковые мобильные приложения. Осенью 2023 года в России по схеме Fake Date работали 6 мошеннических групп, нелегальный заработок только одной из них за 10 дней превысил 6,5 млн рублей. Подробнее здесь.

Треть россиян сталкивались с мошенническими приложениями банков

Треть россиян сталкивались с мошенническими приложениями банков. Об этом 3 октября 2023 года сообщила ITFB Group (АйТиЭфБи Групп). Подробнее здесь.

Криптомошеннические приложения проникли в официальные магазины Google и Apple

2 февраля 2023 года стало известно о том, что кибербандиты из Tinder заманивают доверчивых мужчин в жестокую финансовую ловушку.

Как сообщалось, создатели высокодоходных инвестиционных афёр под названием «разделка свиньи» («The Pig-Butchering Scum»), нашли способ обойти защиту магазинов приложений Google Play и Apple App Store. Подробнее здесь.

2022: Исследователи CPR обнаружили в открытом доступе более двух тысяч открытых баз данных мобильных приложений

16 марта 2022 года команда Check Point Research (CPR) из компании Check Point Software Technologies Ltd. сообщила о том, что обнаружила в открытом доступе незащищенные конфиденциальные данные мобильных приложений, которые любой человек может найти через браузер. Эксперты CPR нашли в VirusTotal, бесплатном инструменте для сканирования документов и ссылок на вредоносное ПО, 2113 мобильных приложений, базы данных которых не были защищены в облаке и в течение трех месяцев наблюдений за ними неоднократно подвергались риску. Количество загрузок этих приложений варьируется от десяти тысяч до десяти миллионов.

Конфиденциальные данные, обнаруженные специалистами Check Point Research, включают в себя фотографии пользователей и членов их семей, идентификационные токены из приложений для заботы о здоровье, информацию из платформ для обмена криптовалюты и многое другое. Исследователи CPR приводят несколько примеров мобильных приложений с незащищенными данными, в частности в одном приложении для создания логотипов и графического дизайна в открытом доступе оказались более 130 тысяч учетных данных пользователей. Команда CPR рассказывает, какие шаги могут предпринять разработчики облачных платформ, отвечающих за безопасность, чтобы усилить защиту. Эксперты не указывают названия мобильных приложений, описанных в исследовании, чтобы не допустить утечек.

Первый пример — приложение для создания логотипов и графического дизайна с более чем десятью миллионами загрузок.

Image:Приложение_для_создания_логотипов_и_графического_дизайна.jpg

Во втором случае эксперты CPR обнаружили открытую базу данных с большим объемом конфиденциальной информации: банковские реквизиты, геолокация, номера телефонов, личные сообщения, история покупок и многое другое. Раскрытые данные принадлежат пользователям платформы для прослушивания подкастов и другого аудиоконтента с более чем 5 миллионами загрузок.

Image:Базу_данных_с_большим_объемом_конфиденциальной_информации.png

Еще один пример — бухгалтерское приложение для малого и среднего бизнеса, которое скачали более миллиона раз. В открытом доступе оказались более 280 тысяч телефонных номеров, связанных с по меньшей мере 80 тысячами названий компаний, а также адреса, информация об остатке на банковском счете и запасе наличных в кассе, счета-фактуры и адреса электронной почты.

Image:Бухгалтерское_приложение_для_малого_и_среднего_бизнеса.png

Исследователи Check Point Research нашли в VirusTotal мобильные приложения, которые взаимодействуют с облачными сервисами, и выбрали среди них те, у которых открыт доступ к данным.

«
В этом исследовании мы показываем, как легко можно найти наборы данных и критически важные ресурсы, которые открыты в облаке для любого, кто может получить к ним доступ через браузер, — сказал Лотем Финкельстин, руководитель отдела анализа угроз Check Point Software Technologies. — Мы описываем, как можно это сделать. Метод предполагает поиск в публичных файловых репозиториях (таких как VirusTotal), мобильных приложений, использующих облачные сервисы. Так, хакер может запросить в VirusTotal полный путь к облачному бэкенду мобильного приложения. Мы приводим несколько примеров, которые смогли найти там сами — все, что мы нашли, доступно любому желающему. Наше исследование доказывает, насколько легко может произойти утечка или эксплуатация данных. Объем конфиденциальной информации, который находятся в открытом доступе и доступен в облаке любому человеку, просто невероятный. И взломать облако гораздо проще, чем мы думаем.
»

2021

В каталоге приложений AppGallery обнаружены десятки игр со встроенным трояном

23 ноября 2021 года компания «Доктор Веб» сообщила об обнаружении в каталоге AppGallery десятков игр со встроенным в них трояном Android.Cynos.7, который собирает информацию о мобильных номерах пользователей. Опасные игры установили по меньшей мере 9 300 000 владельцев Android-устройств. Подробнее здесь.

McAfee обнаружила «умные» приложения для мошенничества в Google Play

В магазин Google Play проникла очередная волна мошеннических приложений, нацеленная на пользователей Android в Юго-Западной Азии и на Аравийском полуострове – было уже более 700 000 скачиваний, прежде чем команда McAfee Mobile Research обнаружила их, и совместно с Google приступили к их удалению. Об этом McAfee сообщила 30 апреля 2021 года. Подробнее здесь.

Avast обнаружила мошеннические приложения в Google Play и Apple App Store

25 марта 2021 года компания Avast, представитель в области цифровой безопасности и решений защиты, сообщила об обнаружении более 200 fleeceware-приложений в App Store и Google Play. По оценкам SensorTower, компании, занимающейся маркетинговыми исследованиями и аналитикой мобильных приложений, приложения были загружены более миллиарда раз. На март 2021 года они принесли более 400 миллионов долларов дохода. На российских пользователях Apple мошенники заработали 4,5 миллионов долларов, fleeceware-приложения были скачаны 23,2 миллиона раз. Пользователи Android-устройств потратили на подписку 400 000 долларов, скачав приложения 21,6 миллионов раз. Списки обнаруженных fleeceware-приложений Avast незамедлительно отправила в Apple и Google.

Fleeceware — это сравнительно молодая разновидность мошенничества. Пользователю предлагают скачать интересное приложение на бесплатный пробный период, чаще всего — на три дня. Затем приложение автоматически списывает несоразмерно высокую плату за подписку. Например, приложение FortuneScope после короткого пробного периода списывает 66 долларов (примерно 5 000 рублей) в неделю, что обойдется жертве в 3 432 доллара (около 300 000 рублей) в год, если подписку не отменить. Недостаточно просто удалить приложение: подписку необходимо отменить в настройках магазина приложений. Реклама fleeceware-приложений часто появляется в социальных сетях, таких как Facebook, Instagram, Snapchat и TikTok.

«
В основном обнаруженные fleeceware-приложения представляют собой симуляторы музыкальных инструментов, редакторы фотографий, фильтры для камеры, приложения для хиромантии и предсказания будущего, а также для чтения QR-кодов и PDF-файлов. Несмотря на то, что эти приложения в основном выполняют свои функции, вряд ли пользователи захотели бы регулярно оплачивать дорогостоящую подписку, если бы знали ее реальную стоимость. Особенно учитывая существование более дешевых или даже бесплатных аналогов таких приложений, — говорит Якуб Вавра, исследователь угроз в Avast. — Похоже, fleeceware-приложения в первую очередь нацелены на детей и подростков. Такой вывод можно сделать на основе красочных скриншотов и рекламных баннеров таких приложений в социальных сетях, в которых предлагается «бесплатно скачать» или «бесплатно установить» такие приложения. Пока родители заметят еженедельные денежные списания, создатели fleeceware-приложений уже могут получить значительный доход.
»

Исследователи Avast обнаружили fleeceware-приложения для Android с помощью платформы для анализа мобильных угроз apklab.io, а затем решили проверить их наличие в Apple App Store.

Avast рекомендует пользователям быть внимательными и осторожными во время использования и загрузки приложений, поскольку функция подписки становится все более распространенной. Вот несколько советов от экспертов Avast, которые помогут защититься от fleeceware-приложений:

  • Проверять условия подписки. Проверить, сколько будет стоить подписка на такое приложение после окончания пробного периода, и подумать, стоит ли регулярно за него платить.
  • Отнестись критически к рекламе приложений. Реклама fleeceware-приложений привлекает внимание пользователей красочными изображениями и заманчивыми обещаниями, которые скорее всего не отражают реальный функционал приложения.
  • Читать мелкий шрифт. Внимательно читать описание приложения, обращая особое внимание на пункт «Покупки в приложении». Ознакомится с условиями подписки, даже если предусмотрен бесплатный пробный период, поскольку плата может списываться автоматически.
  • Защитить платежи. Убедится, что доступ к способам оплаты защищен паролем или биометрической проверкой. В этом случае дети не смогут случайно оформить подписку.

Государственные мобильные приложения в России проанализированы на потенциальные риски приватности для пользователей

Согласно одному из исследований, многие государственные приложения содержат различные трекеры (включая рекламные трекеры и трекеры от социальных сетей), которые передают личные данные пользователей третьей стороне. Об этом 3 марта 2021 года сообщила компания «Доктор Веб». Трекеры в мобильных приложениях предназначены для сбора статистики и аналитики о пользователях, а также для сбора информации об ошибках, возникающих при работе приложений. При этом разработчики таких трекеров могут находиться за рубежом, что ограничивает возможности для контроля и предотвращения противоправных действий.

В оригинальном исследовании говорилось о потенциальных рисках приватности, которые исходят от рекламных SDK и AdMob от Google в частности. Отмечалось, что соответствующий модуль находится в приложениях «Госуслуги Югры», «ЕМИАС.ИНФО», «Check COVID-19», «Налоги ФЛ», «Личный кабинет предпринимателя», «ЕИС» и «Дневник МЭШ». В действительности его в них нет. Все указанные программы созданы с использованием инструментария разработки React Native, а также набора модулей React Native Firebase для него. И именно в этих модулях содержатся определенные строки с именами некоторых компонентов AdMob, из-за чего статический анализ мог ошибочно указать на наличие полноценного рекламного SDK.

Из всех проверенных приложений AdMob был найден лишь в «Госуслугах», однако и в этом случае опасения оказались напрасны: модуль здесь просто-напросто никак не задействован. Вероятнее всего, он попал в программу случайно. Дело в том, что «Госуслуги» — не классическое Android-приложение. Оно создано при помощи специализированного фреймворка Xamarin. Основная логика такой программы расположена в отдельных DLL-файлах, в то время как исполняемый DEX-файл приложения содержит Xamarin SDK. Чтобы код из DLL-файлов получил доступ к сервисам Google, требуются специальные плагины. Весьма вероятно, что код рекламного SDK AdMob попал в приложение как раз с одним из наборов таких плагинов.

И Xamarin SDK, и React Native могут применяться для упрощения кросс-платформенной разработки.

Еще один вопрос у исследователей вызвали модули сервисов AltBeacon и Estimote, найденные в приложениях «Иду в музей» и «Зарядье». Однако они лишь используются для работы со специальными устройствами — Bluetooth-маячками, устанавливаемыми в музеях для удобства пользователей. С их помощью, например, определяется, рядом с каким экспонатом находится посетитель. При этом модуль AltBeacon не отправляет телеметрию на удаленный сервер, в то время как модуль Estimote был модифицирован так, что собираемая им аналитика передается не на иностранный ресурс, а на сервер парка «Зарядье». Поэтому в данных случаях ни тот, ни другой модуль нельзя отнести к полноценным (и тем более опасным) трекерам.

Другой отмеченный в исследовании модуль — HockeyApp, содержащийся в приложении «Парковки Москвы». Относящийся к нему сервис аналитики был окончательно закрыт еще в 2019 году и давно не функционирует, поэтому к нему претензий быть не должно. Скорее всего, модуль попал в исследование по ошибке, поскольку в некоторых программах до сих пор остаются определенные следы от него.

В то же время, как и было указано в исследовании, многие из рассмотренных вирлабом программ действительно содержат SDK от Facebook. Однако данный модуль применяется, например, для регистрации учетных записей через социальную сеть, а также содержит такие функции как, например, «Поделиться». Фактов сбора чувствительной информации этим SDK не выявлено.

Казалось бы, волноваться не о чем. Но нашлась и ложка дегтя. В DrWeb отметили, что различные сервисы аналитики в основном оперируют обезличенными данными пользователей, что само по себе не так страшно. Исключениями являются рекламный идентификатор Google, а также точные данные о местоположении. И вот здесь уже появляются определенные риски для конфиденциальности. Все дело в том, что в ОС Android доступ к рекламному идентификатору может получить любое приложение. Предположим, что условная программа для онлайн-общения связала этот идентификатор с данными (именем, фамилией, адресом электронной почты, номером телефона), после чего передала эту информацию третьей стороне, у которой произошла утечка, и данные попали в интернет. Используя тот же самый рекламный идентификатор, эти сведения можно сопоставить с данными, полученными через модули аналитики (например, связать с информацией о местоположении вашего устройства, выполняемых в приложениях действиях). В результате появляется потенциальная опасность того, что вас будут отслеживать и как минимум знать, кто вы и где вы находитесь. А это само по себе уже немало для тех же маркетологов и рекламодателей. Что и говорить, для злоумышленников это тоже будет ценно.

Хорошая новость — в том, что обычно модули аналитики и трекеры не собирают точные данные о геолокации. Тем не менее, специалисты из вирусной лаборатории выяснили, что некоторые из них (при наличии доступа к соответствующей функции) все же это делают — возможно, для внутреннего использования. Например, модуль картографического сервиса Mapbox, применяющийся в ряде изученных приложений, собирает определенную телеметрию, в которую входит и точная геолокация. Однако при этом он не использует рекламный идентификатор Google, и поэтому такие данные можно считать обезличенными. Другой модуль — от сервиса Flurry — тоже собирает данные о местоположении, но лишь приблизительные. Для этого в самом SDK принудительно настраивается снижение точности данных перед их отправкой на сервер, что также нельзя расценивать как угрозу. При этом отмечается, что все трекинговые платформы имеют возможность отслеживать примерное местоположение при помощи IP-адреса, если, например, отсутствует доступ к геолокации.

А вот используемый в приложении «Московский транспорт» модуль сервиса Amplitude по сравнению с другими рассмотренными сервисами является наиболее спорным. Он не находится в российской юрисдикции, собирает точные данные о местоположении и позволяет отслеживать рекламные идентификаторы, что несет потенциальные риски раскрытия конфиденциальной информации. Кроме того, он записывает некоторые данные, вводимые пользователем, — например, о запрошенном маршруте, если не удалось его построить. Напрямую все эти действия не несут прямых рисков, однако для кого-то могут являться неприемлемыми. Тем более, что без этого модуля можно было бы легко обойтись.

Также стоит отметить, что все трекеры позволяют разработчикам отключать сбор данных о местоположении (который по умолчанию активен), но те такой функцией не воспользовались.

Основной вывод таков: трекеры и различные модули аналитики в большинстве исследованных программ не представляют прямой угрозы для приватности за исключением используемого в приложении «Московский транспорт» противоречивого модуля. Однако это справедливо для версий приложений, актуальных на момент анализа. Разработчики могут вносить определенные изменения в ПО, удаляя или добавляя сторонние модули, поэтому ситуация с собираемыми данными, приватностью пользователей и безопасностью государственных программ со временем может измениться.

Доктор Веб рекомендует:

1. Чтобы затруднить сервисам аналитики и рекламодателям возможность сбора информации, периодически надо менять рекламный идентификатор Android-устройства. Для этого надо зайти в системное меню настроек, перейти в раздел Google, выбрать «Реклама» и затем опцию «Сбросить рекламный идентификатор». Благодаря этому собранные данные из различных источников будет сложнее связать между собой.

2. Необходимо использовать антивирус Dr.Web для Android — он обнаруживает вредоносные модули-трекеры, а также нежелательные рекламные модули, которые могут представлять опасность.

2020

7 мобильных браузеров уязвимы к спуфингу адресной строки

Специалисты компании Rapid7 совместно с пакистанским исследователем безопасности Рафаем Балоком (Rafay Baloch) обнаружили в семи мобильных браузерах десять уязвимостей, позволяющих подделать URL в адресной строке. Об этом стало известно 21 октября 2020 года. В список уязвимых браузеров входят Apple Safari, Opera Touch и Opera Mini, а также нишевые продукты, такие как Bolt, RITS, UC Browser и Яндекс.Браузер.

Исследователи обнаружили уязвимости ранее в 2020 году и сообщили о них производителям в августе. Если крупные вендоры сразу же выпустили исправления, то меньшие даже не потрудились ответить.

Идентификаторы CVE присвоены только шести уязвимостям из десяти:

CVE-2020-7363 и CVE-2020-7364 – до сих пор не исправленные уязвимости в браузере UC Browser для Android;

CVE-2020-7369 – уязвимость в Яндекс.Браузер для Android Была исправлена вендором 1 октября в версии 20.8.4;

CVE-2020-7370 – уязвимость в iOS-версии Bolt;

CVE-2020-7371 – уязвимость Android-версии RITS;

CVE-2020-9987 – уязвимость в Apple Safari. Исправлена вендором[2].

Роскомнадзор будет блокировать пиратские приложения для смартфонов

27 мая 2020 года Госдума приняла во втором и сразу в третьем чтениях законопроект о блокировке пиратских мобильных приложений. Нововведение должно вступить в силу 1 октября.

Согласно новым поправкам в федеральный закон «Об информации, информационных технологиях и о защите информации», Роскомнадзор в течение одного дня после заявления правообладателя и по решению суда сможет блокировать незаконный медиаконтент не только на сайтах, но и в мобильных приложениях. В первоначальной редакции законопроекта ответственность по блокировке возлагалась на авторов приложений и на операторов связи. Поправки ко второму чтению распространили такую обязанность и на агрегаторы приложений (в частности, App Store, Google Play и Huawei AppGallery).

Госдума приняла закон о блокировке мобильных приложений с пиратским контентом

Из текста документа следует, что Роскомнадзор направляет владельцу информационного ресурса, на котором размещено приложение, уведомление о нарушении авторских и смежных прав с указанием произведения, его автора, правообладателя, наименования и владельца приложения с требованием ограничить доступ к незаконному контенту. Информресурс в свою очередь в течение одного рабочего дня сообщает об этом владельцу приложения, который должен в течение одного рабочего дня выполнить указанные предписания. В случае его отказа или бездействия информресурс обязан заблокировать соответствующее приложение не позднее трех рабочих дней с момента получения уведомления Роскомнадзора.

Участники рынка предложили смягчить проект о блокировке приложений

Представители Российской ассоциации электронных коммуникаций (РАЭК), Ассоциации торговых компаний и товаропроизводителей электробытовой и компьютерной техники (РАТЭК) и Американской торговой палаты в России предложили смягчить законопроект о блокировке пиратского контента в мобильных приложениях, ограничив потенциальные полномочия Роскомнадзора по их блокировке. Письма были отправлены председателю Госдумы Вячеславу Володину, в комитет по информполитике и Минкомсвязь. Об этом стало известно 26 мая 2020 года.

Второе чтение законопроекта запланировано на 27 мая 2020 года. Принятие данной инициативы потребует от Apple и других владельцев магазинов приложений инвестиций в модерацию контента в России и может привести к появлению для них юридических рисков.

Авторы предложили не блокировать приложение целиком, а ограничить доступ к определенному контенту, если существует техническая возможность. Также предлагается продлить срок рассмотрения претензий правообладателей и уведомлений Роскомнадзора до девяти дней.

По словам главы комитета Госдумы по информполитике с Минкомсвязью и Государственно-правовым управлением президента Александра Хинштейна, члены комитета не поддерживают предложения ассоциаций, поскольку законопроект направлен на блокировку только контента, нарушающего авторские права, а не приложений в целом[3].

С 1 октября в России хотят ввести блокировку пиратских мобильных приложений

26 мая 2020 года стало известно, что в Госдуме прошел второе чтение законопроект, который вносит изменения в закон «Об информации, информационных технологиях и о защите информации». Если его одобрят и в третьем чтении, рассмотрит Совет Федерации и подпишет президент, то с 1 октября 2020 года в России можно будет заблокировать любое приложение для Android и iOS через суд, если докажут, что оно пиратское или поступит жалоба.

Правообладатели, которые найдут нарушение своего контента или информации смогут подать в суд и потребовать блокировки не только сайта, где это находится, но мобильного приложения, если оно есть.

Ответственность за пиратский контент хотят обязать нести не только самих нарушителей, но и сервисы, которые размещают эти приложения. То есть сюда подпадают все онлайн-магазины приложений, включая AppStore, Google Play, Huawei AppGallery и другие.

Российский суд и требования Роскомнадзора могут обязать их удалить запрещенное приложение, правда, проследить установку APK-файлов, не выйдет, поэтому пиратский контент все равно может распространяться, но уже другими путями[4].


Основная статья: [Блокировка сайтов и приложений в России]]

2019

Около 90% российских популярных Android-приложений передают личные данные третьим сторонам

2 октября 2019 года стало известно, что интернет-издание The Bell с помощью сервиса AppCensus и платформы аудита приватности приложений Exodus проанализировало, какие данные обрабатывают и передают популярные Android-приложения в российском Google Play Store, а также какие разрешения они запрашивают у пользователей.

По результатам, 89 из топ-100 бесплатных приложений отправляют пользовательские данные сторонним платформам. Практически все приложения передают информацию как по зашифрованным, так и по незашифрованным каналам Android Ad ID. Таким образом, это не только позволяет рекламной системе Google легко связать устройство с конкретным пользователем, но также предоставляет доступ третьим лицам к персональной информации пользователей, включая геолокацию. Лидером по количеству каналов передачи данных оказалось приложение «Читай бесплатно» от Litres — 31 канал. «Первый канал», в свою очередь, занимает первое место по числу незашифрованных потоков. Также оказалось, что приложения «Первого канала», телеканала «Россия» и НТВ при передаче данных медиаизмерителю Mediascope используют протокол HTTP вместо более безопасного HTTPS.

Практически все проанализированные приложения (97 из 100) используют рекламные трекеры, помогающие поисковым системам и соцсетям распознавать конкретный аккаунт и показывать таргетированную рекламу. Наибольшее число трекеров специалисты Exodus обнаружили в популярном сервисе «зацикленных» видео Coub — 30 трекеров.

Что касается разрешений, то больше всего среди самых популярных приложений Google Play Store их запрашивает VK от VK (ранее Mail.ru Group). Приложения запрашивают 60 различных разрешений, в том числе доступ к геолокации, камере, микрофону, истории звонков и сообщений и данным об устройстве пользователя.

Согласно данным компании Symantec, 46% всех Android-приложений запрашивают доступ к камере смартфона, а 25% — к записи аудио без уведомления пользователя[5].

Сравнительное исследование защищенности двенадцати популярных мобильных приложений знакомств

24 сентября 2019 года компания «Ростелеком-Солар» к «бархатному сезону» провела сравнительное исследование защищенности двенадцати популярных мобильных приложений знакомств: Tinder, Badoo, Loveplanet, Mamba, Фотострана, Topface, ДругВокруг, MyFriends, Galaxy, Знакомства@mail.ru, Teamo и Hitwe. Приложения для анализа были отобраны согласно критерию популярности: количеству скачиваний в Google Play и App Store, а также позиции в различных рейтингах сайтов знакомств. Все приложения рассматривались в вариантах для мобильных операционных систем iOS и Android.

С каждым годом сервисы онлайн-знакомств становятся все более привлекательными как для целевой аудитории, так и для инвесторов. По данным аналитика японского холдинга Nomura Instinet Марка Келли, к 2020 году объём мирового рынка онлайн-знакомств вырастет до $12 млрд. Портал statista.com оценил объем российского рынка онлайн-знакомств в 2017 году в $66 млн. При этом актуальным рыночным трендом был назван переход аудитории на мобильные приложения, доля которых к концу 2018 года, по мнению аналитиков, достигла 60%.

Неожиданно, по результатам автоматизированного анализа, в Android-версии приложения Знакомства@mail.ru, которое позиционируется создателями как лидер российского рынка сервисов знакомств, была обнаружена высококритичная уязвимость, входящая в международный рейтинг наиболее критичных уязвимостей «OWASP Mobile Top 10 2016». В случае ее успешной эксплуатации злоумышленник может получить доступ к учетной записи пользователя приложения и, соответственно, ко всей незашифрованной информации, которое приложение передает на сервер. Эта и другие уязвимости не позволили Знакомства@mail.ru подняться выше предпоследнего места в списке по уровню защищенности среди приложений с количеством установок более 5 млн (8 из 12-ти исследованных приложений).

«
Благодаря уязвимости этого класса хакер может стать обладателем логина и пароля пользователя, с их помощью войти в приложение и получить доступ к переписке, видео и аудио-контенту, которым владелец аккаунта обменивался со своими знакомыми в приложении. Этот контент может стать компроматом на любого человека, по той или иной причине заинтересовавшего злоумышленника. Эту информацию могут выложить в сеть, как было в случае со скандально известным сайтом знакомств Ashley Madison. Наконец, пользователи часто ленятся запоминать разные логины и пароли и используют одну и ту же связку и для аккаунта в приложении знакомств, и, например, для доступа в онлайн-банк. Что, в свою очередь, создает уже финансовые риски,
отметил руководитель направления Solar appScreener компании «Ростелеком-Солар» Чернов Даниил
»

В целом, по результатам анализа Android-версий cамыми защищенными приложениями знакомств оказались Teamo и Фотострана: общий уровень защищенности обоих приложений равен 3.2 балла из 5.0. Звезды глобального рынка – приложения с количеством установок более 100 млн – Badoo и Tinder продемонстрировали средние показатели уровня защищенности, 2.9 и 2.6 балла соответственно. Наиболее уязвимым оказалось приложение MyFriends (1.9 балла из 5.0).

В 83% исследованных мобильных приложений знакомств на базе OC-Android ключ шифрования задан в исходном коде. Эта критичная уязвимость может привести к компрометации данных, содержащихся в программе, - как пользовательских, так и системных. Кроме того, все исследованные приложения знакомств на базе Android допускают внутреннюю утечку ценной информации, которой может воспользоваться злоумышленник для разработки плана атаки на приложение. Также все они содержат уязвимость, создающую угрозу выполнения злоумышленником произвольного кода в приложении.

Что касается iOS-приложений, рассматриваемых в исследовании, сервис знакомств Hitwe содержит наименьшее количество уязвимостей среди всех «яблочных» систем – ему удалось набрать 1.0 балл из 5.0 по общему уровню защищенности. iOS-версии мировых брендов Badoo и Tinder, как и в случае с Android, заняли средние позиции в рейтинге – общий уровень защищенности обоих равен 0.5 балла. Самым небезопасным приложением на базе iOS признан Topface (0.0 балла).

Все проанализированные iOS-версии содержат слабый алгоритм хеширования, что потенциально может привести к утрате конфиденциальности обрабатываемых ими данных. А более чем в половине из них заложены слабые алгоритмы шифрования, что создает угрозу их взлома методом полного перебора. В целом, iOS-версии мобильных сервисов знакомств содержат на порядок большее количество уязвимостей, чем Android-приложения, что, однако, в некоторой степени компенсируется более высокой защищенностью самой операционной системы.

Анализ безопасности кода мобильных приложений знакомств осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме.

Россия - лидер по киберугрозам для Android

Россия занимает первое место по числу создаваемых под Android вредоносных программ по данным Eset за первое полугодие 2019 г. При этом 68% уязвимостей являются критически опасными для нормального функционирования устройств на Android либо для безопасности личных данных пользователей. Этот показатель значительно выше прошлого года. Эксперты считают, что количество уязвимостей в разрабатываемых под различные платформы мобильных приложениях будет продолжать расти пропорционально росту объемов разработки.

Согласно исследованию, наибольшее число вредоносных программ было обнаружено в России (16%), Иране (15%), а также на территории Украины (8%). Эксперты пришли к выводу, что количество уязвимостей Android-устройств уменьшилось, однако доля действительно опасных образцов вредоносного ПО заметно возросла. Так, число мобильных угроз сократилось на 8% по сравнению с аналогичным периодом 2018 г. "Одним из самых распространенных видов мобильных угроз остаются вымогатели. Недавно обнаруженный Android/Filecoder.C использует как симметричное, так и асимметричное шифрование и распространяется посредством SMS-сообщений по списку контактов. Это наглядный пример усложнения функционала по сравнению с ранними семействами вымогателей, такими как DoubleLocker", - написано в отчете.

Исследователи ESET подчеркнули, что с развитием интернета вещей возрастает необходимость защищать не только ноутбуки и смартфоны, но и все подключенные к сети устройства.

У 76% мобильных приложений небезопасное хранение данных

19 июня 2019 года компания Positive Technologies сообщила, что ее эксперты протестировали мобильные приложения для iOS и Android и выяснили, что в большинстве приложений данные хранятся небезопасно, а хакеру редко требуется физический доступ к смартфону жертвы для их кражи.

По данным исследования, приложения для Android с критически опасными уязвимостями встречаются несколько чаще, чем программы для iOS (43% против 38%). Однако эта разница несущественна, считают эксперты, и общий уровень защищенности клиентских частей мобильных приложений для обеих платформ примерно одинаков.

Самой распространенной уязвимостью эксперты назвали небезопасное хранение данных, которое встречается в 76% мобильных приложений: в руках хакеров могут оказаться пароли, финансовая информация, персональные данные и личная переписка.

«
Для кражи данных злоумышленникам редко нужен физический доступ к смартфону жертвы: 89% обнаруженных нами уязвимостей могут быть проэксплуатированы с использованием вредоносного ПО. Вероятность заражения увеличивается в разы на устройствах с административными привилегиями (root или jailbreak). Но вредоносное ПО может повышать права самостоятельно. Попав на устройство жертвы, вредонос может запрашивать разрешения на доступ к пользовательским данным, а получив разрешение, передавать данные злоумышленникам. Мы рекомендуем пользователям внимательно относиться к уведомлениям от приложений о запросе доступа к каким-либо функциям или данным. Не стоит предоставлять разрешение на доступ, если есть сомнение в его необходимости для нормального функционирования приложения,
говорит Яна Авезова, аналитик информационной безопасности Positive Technologies
»

Как показали результаты исследования, серверные части не менее уязвимы, чем клиентские: 43% имеют низкий или крайне низкий уровень защищенности, при этом 33% содержат критически опасные уязвимости. Среди самых распространенных недостатков высокого уровня риска в серверных частях – недостаточная авторизация и утечка информации.

2010: Проблема вредоносного ПО для мобильных устройств во многом преувеличена

Развитие мобильного интернета, безусловно, породило и киберугрозы для владельцев телефонов. Однако, как считают эксперты, во многом проблема вредоносного ПО, специально разработанного для мобильных устройств, во многом преувеличена. Дело в том, что невообразимое количество вирусов для обычных ПК не идет ни в какое сравнение со "считанными" десятками вредоносных программ для мобильных телефонов.

Например, львиная доля мобильных вирусов писалась для одной из самых распространенных программных платформ Symbian OS для смартфонов и коммуникаторов Nokia Corporation. Однако с появлением в 2006 году следующей версии данной платформы риск заражения стал стремиться к нулю. Одним словом, любая операционная система для "мобильников" старается, как можно эффективнее, обезопасить своего пользователя от возможного "заражения".

Однако это вовсе не означает, что вирусов для данных устройств совсем не существует. Так, в 2008 году появился один из немногих мобильных вирусов для Symbian OS 9.1 S60 3rd Edition - программа Sexy View, отличительной особенностью которой было то, что она подписана действительным сертификатом безопасности Symbian. Данный вирус производил SMS-рассылку со ссылкой на себя, а целью вируса был сбор конфиденциальной информации о зараженном устройстве (IMEI и т.д.). К тому же, уже известное по предыдущим версиям программных платформ кроссплатформенное приложение FlexiSpy, крадущее личную информацию абонента, существует и для данной версии ОС.

Чтобы предотвратить "заражение" мобильными вирусами, необходимо узнать как можно больше информации о том приложении, которое пользователь собирается скачать. Для этого можно воспользоваться интернетом, как правило, на различных специализированных форумах имеется информация о вредоносном ПО. Кроме того, можно попробовать связаться с представителями той площадки, откуда планируется скачать программу. В конце концов, можно обратиться к создателям антивирусного ПО.