Эксперты рассказали о рисках при использовании российских банковских приложений

Больше половины мобильных приложений, которые предлагают российские банки, содержат потенциальные лазейки для киберпреступников. Таковы итоги анализа, проведённого специалистами компании AppSec Solutions. Как пояснили исследователи, почти треть обнаруженных технических проблем может обернуться утечкой персональных данных.

Эксперты изучили 95 приложений, представленных на российском рынке в течение 2024 года. По результатам проверки выяснилось, что во многих программах сохраняются уязвимости, напрямую угрожающие безопасности пользователей. Представители AppSec Solutions отметили, что чаще всего уязвимости касаются хранения конфиденциальной информации. В числе типичных ошибок — размещение приватных данных в общедоступных файлах и передача чувствительных фрагментов текста в виде открытых строк внутри приложения, сообщают РИА Новости.

В AppSec Solutions подчеркнули, что за год количество уязвимостей в банковском ПО снизилось, но серьёзные проблемы по-прежнему остаются. В 2023 году специалисты выявили около 4,5 тыс. уязвимостей, из которых только 183 относились к категории действительно опасных. В 2024 году число уязвимостей сократилось до 1583, при этом 569 из них были отнесены к высокой и критической степени риска. Таким образом, доля действительно серьёзных проблем за год существенно возросла.

Одна из самых распространённых технических недоработок — хранение данных, предназначенных для подключения к внешним сервисам, в незашифрованном виде. Это создаёт прямую угрозу для защиты информации и открывает путь для злоумышленников, заинтересованных в несанкционированном доступе.

Несмотря на общую тревожную картину, некоторые приложения оказались защищены на более высоком уровне. Исследователи сообщили, что практически все программы, разработанные крупнейшими банками страны, не содержат уязвимостей, представляющих серьёзную угрозу.

На фоне этих данных вновь прозвучали требования Центрального банка к финансовым организациям. В феврале глава регулятора Эльвира Набиуллина напомнила, что все банки должны до конца первого квартала 2025 года устранить риски, связанные с несанкционированным доступом к счетам через уязвимые приложения. В марте она вновь акцентировала внимание на том, что мобильное приложение должно обеспечивать такой же уровень защиты, как и физическое хранилище в офисе банка.