Мобильные приложения ретейлеров одежды оказались небезопасны для пользователей
Самые популярные сервисы для покупки одежды и обуви в России признаны слабо защищенными от атак мошенников. По оценке аналитиков, наибольшее количество критических уязвимостей обнаружено в приложениях для iOS.
Все приложения для покупки одежды из топ-10 в российском App Store содержат критические уязвимости, по данным исследования «Ростелеком-Solar». Компания проанализировала мобильные сервисы ретейлеров Mango, Asos, Shein, Bonprix, Wildberries, H&M, KupiVIP, Bershka, Joom и Lamoda в версиях для iOS и Android. В приложениях для iOS критических уязвимостей в коде было обнаружено значительно больше, чем на Android, сообщает «Коммерсант»
Самыми распространенными уязвимостями исследователи назвали ошибки в шифровании, небезопасную реализацию SSL (уровень защищенных сокетов) и слабый алгоритм хеширования. При этом каждое из 10 самых популярных приложений на iOS использует устаревшие хеш-функции, которые не обеспечивают надежного шифрования.
Наиболее защищенными приложениями на Android признаны сервисы Mango, Asos и Shein, наименее — Joom и Lamoda. Среди iOS-приложений меньше всего уязвимостей содержат Bonprix, Wildberries, Asos и Bershka, а больше всего — H&M и Shein. Через обнаруженные уязвимости злоумышленники могут получить доступ к аккаунту пользователя или собрать информацию о его мобильном устройстве, сообщают аналитики.
Руководитель направления Solar appScreener «Ростелеком-Solar» Даниил Чернов считает, что защищенность сервисов для покупок товаров становится все более актуальным вопросом. Ретейлеры оперируют платежными данными, компрометация и утечка которых способна нанести финансовый ущерб потребителям и репутационный бренду, отмечает Чернов.
За первые три квартала 2018 года онлайн-ретейлеры одежды и обуви в России получили за счет мобильных приложений 47% выручки, по данным Data Insight.
В то же время руководитель отдела технического сопровождения продуктов и сервисов ESET Russia Сергей Кузнецов заявляет, что в iOS затруднительно эксплуатировать критическую уязвимость, где фигурируют платежная информация или персональные данные. «Эксплойты под iOS существуют, однако они доступны очень узкому кругу лиц с очень высоким уровнем компетенций», — объясняет Кузнецов.
Антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев сообщает, что известны случаи атак на мобильные сервисы для вызова такси, покупки билетов на самолет и бронирования гостиниц. По мнению эксперта, разработчики не обладают достаточной экспертизой для обеспечения высокой безопасности приложений.
Проблемы с безопасностью испытывают не только приложения с одеждой, но и мобильные банки. В конце января клиенты приложения Сбербанка стали жертвами мошенников, которые использовали для звонков контактные номера банка. Такой взлом возможен только при доступе мошенников к конфиденциальной информации о клиентах, сообщал Inc.