Аналитики назвали приложение «Макдоналдса» наиболее уязвимым
Защищенный Android
Специалисты «Ростелеком-Solar», дочерней компании госоператора связи, специализирующейся на ИТ-безопасности, проанализировали 17 мобильных приложений для заказа еды на предмет уязвимостей: насколько сложно злоумышленнику взломать приложение и скомпрометировать данные пользователя. В выборку попали «Макдоналдс», Subway Russia, KFC, Burger King, «Тануки», «Доминос Пицца», «Папа Джонс», «Шоколадница», Pizza Hut, «Додо Пицца», «Суши Wok», «СушиВесла», «Почетный гость», Black Star Burger, Starbucks, «Якитория», «Чайхона № 1». Выбор сервисов для анализа основывался на количестве их скачиваний в Google Play и App Store.
Опасный Burger
Проанализировать безопасность мобильных приложений в «Ростелеком-Solar» решили после выявления уязвимостей у одной из сетей быстрого питания. Мобильное приложение Burger King может собирать данные пользователей с помощью записи видео с экранов смартфонов, сообщил в начале июля сайт Pikabu. Пользователь этого ресурса обратил внимание на то, что сервис Burger King записывал видео с экрана пользователя и отправлял запись на свой сервер. На это видео мог попасть и ввод данных банковской карточки при оплате заказа. После появления информации Роскомнадзор направил в Burger King официальный запрос. В ведомстве заявили, что, если эта информация подтвердится, Роскомнадзор дополнительно потребует от компании объяснить причины, по которым неопределенный круг лиц получил доступ к персональным данным. Данные клиентов никак не персонифицируются и не хранятся на сервере, отвечали на это в пресс-службе Burger King.
Средний уровень защищенности приложений в категории составил 2,2 балла из пяти возможных, выяснили специалисты «Ростелеком-Solar». Оказалось также, что сервисы для платформы Android защищены значительно лучше, чем их аналоги для iOS.
Первое место по уровню защищенности для Android поделили Black Star Burger, Pizza Hut и KFC, получив от экспертов по 4,1 балла. У этих приложений не было выявлено критических уязвимостей, поэтому, как указано в исследовании, они безопасны с точки зрения защиты пользовательских данных, а также устойчивы к хакерским атакам. Наименее защищенными оказались приложения Starbucks (2,4) и «Якитории» (2,1 балла). Самую низкую оценку — 1,4 балла — получил «Макдоналдс».
Половина iOS-версий не смогла набрать даже один балл, констатируют аналитики «Ростелеком-Solar». Они отмечают, что среди 16 нет ни одного приложения, в котором не встречались бы критические уязвимости. Превысить средний балл в категории (2,2) удалось только приложению «Тануки» — 2,9 балла. Максимально близко подошел к этой отметке Starbucks с 2,1 балла. Аутсайдером вновь оказался «Макдоналдс»: iOS-версия его приложения получила лишь 0,3 балла. По 0,4 балла набрали Pizza Hut и Black Star Burger, приложение которого был лидером на платформе Android.
Специалист «Ростелеком-Solar» Даниил Чернов объясняет разницу оценки одного и того же приложения для Android и iOS тем, что, несмотря на одинаковый функционал для пользователей, Android считается более уязвимой операционной системой, и потому разработчики уделяют больше внимания вопросам безопасности. Чернов не исключает, что именно с этим и связана большая защищенность приложений для Android.
В целом наиболее уязвимыми (с учетом обеих платформ) в «Ростелеком-Solar» признали приложения трех компаний — Starbucks, «Якитории» и «Макдоналдса». Их представители не ответили на запросы РБК.
Слабая шифровка
Слабым местом большинства приложений оказался небезопасный алгоритм хеширования (преобразование входящих данных в уникальную закодированную строку — хеш). Оно может использоваться, например, для подтверждения пароля, с помощью которого пользователь входит в свой аккаунт. При слабом алгоритме хеширования злоумышленник может без затруднений подобрать пароль и взломать приложение, указывают авторы исследования.
Около половины приложений хранят пароли пользователей в незашифрованном виде, отмечают в «Ростелеком-Solar». Это может означать как хранение в открытом виде, так и использование такого метода кодирования, который позволяет легко восстановить исходный пароль. Примером может служить стандарт кодирования base64, для декодирования которого существует масса бесплатных онлайн-инструментов, говорится в исследовании.
Слабый алгоритм шифрования — еще одна уязвимость, которая встречается почти во всех приложениях. Как поясняется в исследовании, шифрование используется для скрытия информации от неавторизованных пользователей. Многие приложения страдают от небезопасной реализации SSL (Secure Sockets Layer) — уровня защищенности интерфейса для обмена данными. Низкий уровень защиты позволяет злоумышленнику встать между сервером и приложением и контролировать все действия пользователя. Например, когда пользователь заходит в приложение по сети Wi-Fi, можно легко перехватить данные и видоизменить их. Таким образом, у злоумышленников может оказаться информация о банковской карте клиента, история его заказов, адреса доставки.