Эксперт AppSec Solutions перечислил 6 ключевых векторов атак на мобильные приложения

Мобильный трафик в финтех-секторе и e-commerce уже достиг 70–80%, что сделало этот канал основной точкой входа для киберпреступников. Об этом на конференции CyberCamp рассказал эксперт компании AppSec Solutions Юрий Шабалин.

Переход бизнеса в мобильную среду изменил ландшафт угроз. Если раньше основной фокус защиты был сосредоточен на веб-ресурсах, то сегодня «центр тяжести» сместился в сторону смартфонов. Мобильное приложение стало одним из ключевых инструментов для ежедневных финансовых операций пользователей, где одновременно обрабатываются и персональные данные.

— Сегодня мобильное приложение — это не просто удобный интерфейс, а полноценный бизнес-сервис. И, к сожалению, потенциально взлом приложения может дать доступ к данным пользователей. Проблема осложняется тем, что приложения исполняются в среде, которую разработчик не может контролировать. Именно поэтому классических методов защиты уже недостаточно: безопасность должна быть заложена в ДНК продукта на каждом этапе его жизненного цикла – принцип DevSecOps при разработке мобильных приложений важен особенно, — рассказал Юрий Шабалин, директор по продукту AppSec.Sting, вендором AppSec Solutions

Юрий Шабалин выделил шесть основных методов, которые злоумышленники используют для атак на современные мобильные приложения:

1. Модификация приложений. Переупаковка (APK/IPA) и внедрение вредоносного кода. Хакеры обходят проверку лицензий и логику платежей, создавая «бесплатные» или мошеннические клоны популярных сервисов.
2. Недоверенная среда. Запуск приложений на устройствах с Root/Jailbreak или в эмуляторах. Использование инструментов динамического анализа (Frida, Objection) позволяет злоумышленникам манипулировать логикой решения в режиме реального времени.
3. Извлечение «секретов». Поиск «зашитых» API-ключей, токенов и сертификатов. Незащищенное хранение данных в логах, SharedPreferences или Keychain открывает путь к краже чувствительной информации.
4. Атаки на сессии. Перехват и повторное использование токенов доступа. Отсутствие привязки сессии к конкретному устройству и слабые механизмы многофакторной аутентификации делают аккаунты уязвимыми.
5. Сетевые риски. MITM-атаки на каналы связи при отсутствии SSL Pinning, а также уязвимости в API-эндпоинтах и небезопасные глубокие ссылки.
6. Сторонние SDK и зависимости. Риски цепочки поставок. Вредоносный код может попасть в приложение через популярные рекламные или аналитические библиотеки, обладающие избыточными разрешениями.

Для минимизации рисков эксперт AppSec Solutions предложил практический план из четырех шагов, который позволяет компаниям системно подойти к вопросу безопасности:

• Инвентаризация и оценка рисков. Полный аудит всех используемых мобильных активов и сторонних библиотек.

• Первичный анализ. Быстрое устранение наиболее очевидных и критических уязвимостей.

• Приоритизация. Формирование бэклога исправлений на основе степени влияния на бизнес.

• DevSecOps – встраивание безопасности в процесс разработки. Переход к модели непрерывной проверки безопасности на всех этапах разработки — от написания кода до релиза.