Уязвимости в популярных приложениях для путешествий могут привести к утечке данных

Многие из самых популярных мобильных сервисов, с помощью которых туристы ищут и бронируют жильё, билеты или туры, не обеспечивают достаточный уровень цифровой защиты. Об этом говорится в новом исследовании компании AppSec Solutions. Специалисты проанализировали приложения из топ-100 по количеству загрузок и обнаружили множество слабых мест, которые могут представлять реальную угрозу безопасности пользователей.

Сотрудники AppSec Solutions насчитали 1336 уязвимостей различной степени опасности. Из них 381 попала в категорию повышенного риска. По мнению аналитиков, такие бреши способны привести к утечке конфиденциальной информации и нанести ущерб как самим пользователям, так и разработчикам программного обеспечения, сообщают «Известия».

Как пояснили в AppSec Solutions, в большинстве уязвимых сервисов была выявлена распространённая проблема — неправильное хранение токенов, с помощью которых приложения получают доступ к сторонним сервисам. Более сотни таких токенов, найденных во время анализа, потенциально могут быть использованы злоумышленниками для получения доступа к персональным данным.

Особую тревогу у специалистов вызвала уязвимость, связанная с обработкой Intent — специальной структуры, которая связывает различные части мобильного приложения. Если она формируется на основе непроверенной информации из внешних источников, это может привести к загрузке вредоносных элементов и дестабилизировать работу всего сервиса.

Кроме технических проблем, исследование обращает внимание и на распространённые схемы социальной инженерии, с которыми всё чаще сталкиваются путешественники. По словам Юрия Шабалина, директора по продукту компании AppSec Solutions, фишинговые атаки, направленные на пользователей таких приложений, продолжают набирать обороты. Часто злоумышленники рассылают поддельные приглашения на фальшивые сайты, внешне похожие на настоящие платформы бронирования. Отличить оригинальный ресурс от подделки можно только по малозаметным признакам — доменному имени или отсутствию корректного сертификата безопасности.

В то время как представители некоторых сервисов ставят под сомнение выводы исследования и выражают недоверие к его методике, часть независимых экспертов в области информационной безопасности подтверждают — угрозы действительно существуют и требуют внимания.