СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
2 июня
#ИБ#ИИ

Мобильные приложения российских разработчиков превратились в дырявое решето

Мобильные приложения российских разработчиков превратились в дырявое решето

изображение: recraft

За 2025 год специалисты AppSec Solutions зафиксировали 48,8 тыс. уязвимостей в популярных Android-приложениях от отечественных разработчиков. Рост к прошлогодним показателям составил 63%, а доля программ с критическими и высокими рисками достигла 84%. Самых опасных находок насчитали свыше 19 тыс.

Материалы исследования попали в распоряжение «Коммерсанта». Под микроскоп аналитиков угодили более 1,2 тыс. востребованных Android-приложений, проверка шла методом чёрного ящика, без доступа к исходному коду. Подобный формат имитирует поведение внешнего атакующего, который запускает программу, изучает сетевые запросы, наблюдает за хранением данных и фиксирует реакции на разные действия. После чего смотрит, где цифровая дверь прикрыта неплотно или вовсе оставлена нараспашку.

Стоит обратить внимание, что общее количество найденных проблем выросло с 29,9 тыс. в 2024 году до 48,8 тыс. в 2025 году — почти двукратный скачок за один календарный цикл.

Антирейтинг по числу обнаруженных уязвимостей возглавили несколько категорий продуктов:

  • игры и развлекательные сервисы;
  • стриминговые платформы;
  • финансовые приложения и банкинг;
  • бизнес-инструменты и корпоративные клиенты;
  • средства массовой информации и новостные агрегаторы.

Финансовый сегмент выглядит хуже всех. В AppSec Solutions подсчитали, что за три года число самых опасных уязвимостей в нём выросло почти в 10 раз и добралось до отметки 1921 случай. Причины роста приземлённые, но от этого не менее нервные. Банковские приложения давно перестали быть простыми программами для просмотра баланса. Внутри живут платежи, биометрия, чаты поддержки, партнёрские сервисы, SDK, аналитика, уведомления и целый зоопарк внешних компонентов. Чем больше таких деталей, тем больше мест, где токен может оказаться не там, где надо, а секретный ключ способен внезапно поселиться в коде как забытая записка на рабочем столе.

Часть уязвимостей раньше могла проходить мимо отчётов, поскольку глубина анализа была ниже. Сейчас инструменты видят больше, а значит и общая ситуация выглядит жёстче. Мобильная разработка стала сложнее, быстрее и насыщеннее сторонним кодом, а защита не всегда успевает за темпом релизов. Среди наиболее опасных проблем чаще других встречается небезопасное хранение:

  • токенов;
  • криптографических ключей;
  • пользовательской информации.

Для мобильного приложения подобное равносильно тому, чтобы держать банковскую карту под ковриком у двери, только в цифровом варианте. Пользователь видит аккуратную кнопку входа и красивый интерфейс, а внутри может лежать технический секрет, который атакующий способен извлечь при удачном раскладе.

Искусственный интеллект становится новым источником рисков, считает руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин. По его словам, ИИ ускоряет написание кода, но вместе с этим раздувает кодовую базу и переносит в неё старые ошибки. Генеративные инструменты хорошо создают работающие фрагменты, при этом безопасный код получается далеко не всегда, поскольку модели обучались на примерах, где встречаются устаревшие и уязвимые практики разработки.

Пресс-служба ГК «Солар» приводит ещё один неприятный ориентир. Популярные языковые модели могут пропускать от 40% до 50% уязвимостей в коде. Для рынка это означает простую вещь. ИИ-помощник способен ускорить программиста, при этом он не заменяет AppSec-эксперта, ревью, тестирование и контроль зависимостей. Когда бизнес требует выпускать новые функции быстрее, а специалистов по безопасной разработке не хватает, ошибки начинают накапливаться как уведомления в давно забытом корпоративном чате.

Дыры, открывающие доступ к конфиденциальной информации, выявляются в 75% приложений по данным ГК «Солар». Это уже не разговор про абстрактные технические недочёты. Под ударом оказываются персональные данные, внутренние токены, служебная информация и механизмы авторизации. Для пользователя всё может выглядеть как обычное приложение с логотипом на экране, а для атакующего это иногда карта с отмеченными проходами.

Интересно, что рост опасных уязвимостей в финансовом секторе Сергей Полунин связывает с усложнением приложений и большим объёмом стороннего кода — библиотеки используются для платежей, биометрии, поддержки и аналитики, а давление бизнеса на скорость релизов оставляет меньше времени для полноценной обкатки.

Что усугубляет ситуацию прямо сейчас:

  • лавинообразный прирост сторонних SDK в продуктах;
  • глубокая интеграция облачных компонентов;
  • массовое внедрение ИИ-сгенерированного кода;
  • повторение небезопасных моделей хранения чувствительных данных;
  • разовые проверки вместо постоянного мониторинга.

Число уязвимостей продолжит расти и в 2026 году, прогнозирует руководитель продукта AppSec.Sting компании AppSec Solutions Никита Пинаев. Рынок сможет переломить динамику только при переходе от точечных проверок к постоянному риск-ориентированному контролю, считает он. Компаниям придётся уделять больше внимания управлению секретами, ротации ключей, контролю сторонних компонентов и защите среды исполнения. Побеждать будут не те, кто гордо показывает длинный список найденных проблем, а те, кто быстрее закрывает дыры и встраивает защитные практики прямо в процесс разработки.

Что разработчикам стоит проверить уже сегодня:

  • где хранятся пользовательские токены и сессионные данные;
  • как организована ротация криптографических ключей;
  • какие SDK подтягиваются в сборку и кто их обновляет;
  • защищена ли среда исполнения от подмены и инъекций;
  • встроены ли проверки в CI/CD-конвейер.

Ранее мы писали, что хакеры нашли дверь шире пароля. По отчёту Verizon DBIR за 2026 год, эксплуатация уязвимостей в программах впервые почти за 20 лет стала главным способом проникновения в компании и обогнала кражу учётных данных. На атаки через программные дыры приходится 31% подтверждённых утечек, тогда как доля краж логинов и паролей снизилась до 13%.

Также стоит напомнить случай с Universal Robots, показавший, насколько хрупкой может быть защита промышленного ПО. Исследователи откопали критическую дыру в PolyScope 5, операционной системе коллаборативных роботов Universal Robots. Уязвимости присвоили идентификатор CVE-2026-8153 и оценку CVSS 9,8 из 10. Через сетевой порт Dashboard Server неавторизованный злоумышленник способен внедрять команды и получать полные системные привилегии.

Эксперты редакции CISOCLUB уверены, что мобильная разработка в России подошла к точке, где скорость релизов окончательно вступила в конфликт с качеством защитных практик. Рост числа уязвимостей в 1,6 раза за год — это не статистическая случайность, а закономерный итог гонки за функциональностью при дефиците AppSec-специалистов.

Применение ИИ-генераторов кода без последующей ручной верификации создаёт эффект снежного кома, когда устаревшие уязвимые шаблоны тиражируются в десятках продуктов одновременно. Финансовый сегмент с десятикратным ростом критических проблем за три года заслуживает отдельного внимания регулятора и отраслевых ассоциаций.

Без обязательных стандартов безопасной разработки и независимого аудита SDK рынок продолжит штамповать дырявые продукты под красивыми иконками. Пользователи в итоге расплачиваются своими данными за чужую экономию на тестировании.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: