31.10.2025 754
К такому выводу пришли эксперты Роскачества и компании «Солар» в ходе масштабного исследования, в котором были проанализированы около 70 приложений популярных сервисов, включая онлайн-аптеки.
В исследовании были рассмотрены приложения на платформах iOS и Android с рейтингом выше 4 баллов и количеством скачиваний от 500 тысяч. Среди них оказались и приложения онлайн-аптек, которые охватывают аудиторию свыше 26,5 миллиона пользователей. Критическая уязвимость была выявлена у 93% приложений онлайн-аптек, связанная с небезопасной реализацией SSL. Этот дефект позволяет нарушать подлинность сертификатов и устанавливать защищенное соединение без должной проверки, что открывает путь для MITM-атак.
Злоумышленники могут перехватывать или подменять передаваемые данные, что ведет к компрометации важной информации. Например, если приложение принимает любой сертификат или отключает валидацию, хакер в публичной или скомпрометированной Wi-Fi-сети может подменить сертификат и получить доступ к токенам, паролям и другим данным.
В ходе исследования эксперты выделили пять основных типов уязвимостей. К ним относятся уязвимости в работе с DNS, небезопасная рефлексия, использование слабых алгоритмов хеширования и передача данных по незашифрованному протоколу HTTP. Все эти недостатки увеличивают риск утечек и повреждения данных.
Результаты исследования подчеркивают необходимость системного подхода к безопасности данных пользователей. Эксперты рекомендуют разработчикам внедрить цикл безопасной разработки (Secure SDLC) в соответствии с ГОСТ и международными стандартами OWASP. Такой комплексный подход поможет защитить миллионы пользователей от MITM-атак и утечек конфиденциальной информации, обеспечивая доверие к цифровым сервисам.
В исследовании были рассмотрены приложения на платформах iOS и Android с рейтингом выше 4 баллов и количеством скачиваний от 500 тысяч. Среди них оказались и приложения онлайн-аптек, которые охватывают аудиторию свыше 26,5 миллиона пользователей. Критическая уязвимость была выявлена у 93% приложений онлайн-аптек, связанная с небезопасной реализацией SSL. Этот дефект позволяет нарушать подлинность сертификатов и устанавливать защищенное соединение без должной проверки, что открывает путь для MITM-атак.
Злоумышленники могут перехватывать или подменять передаваемые данные, что ведет к компрометации важной информации. Например, если приложение принимает любой сертификат или отключает валидацию, хакер в публичной или скомпрометированной Wi-Fi-сети может подменить сертификат и получить доступ к токенам, паролям и другим данным.
В ходе исследования эксперты выделили пять основных типов уязвимостей. К ним относятся уязвимости в работе с DNS, небезопасная рефлексия, использование слабых алгоритмов хеширования и передача данных по незашифрованному протоколу HTTP. Все эти недостатки увеличивают риск утечек и повреждения данных.
Результаты исследования подчеркивают необходимость системного подхода к безопасности данных пользователей. Эксперты рекомендуют разработчикам внедрить цикл безопасной разработки (Secure SDLC) в соответствии с ГОСТ и международными стандартами OWASP. Такой комплексный подход поможет защитить миллионы пользователей от MITM-атак и утечек конфиденциальной информации, обеспечивая доверие к цифровым сервисам.
Источник : Ссылка