Zimperium: 92% мобильных приложений используют небезопасные методы криптографии

Исследование компании Zimperium, сосредоточенное на корпоративных мобильных приложениях, выявило тревожную картину — подавляющее большинство программ имеют серьёзные проблемы с защитой данных. Аналитики проанализировали более 17 тыс. приложений, используемых в рабочей среде, и пришли к выводу, что миллионы пользователей и бизнес-структур могут оказаться под угрозой.

Как сообщается в докладе под названием «Ваши приложения утекают. Скрытые угрозы безопасности на вашем смартфоне», большая часть уязвимостей связана с неправильной конфигурацией облачных сервисов, устаревшими криптографическими алгоритмами и фиксированными логинами и паролями, встроенными в код. Авторы подчёркивают, что приложения, активно используемые в повседневной деловой практике, зачастую становятся каналом для утечки конфиденциальных сведений.

В рамках анализа специалисты компании изучили 17 333 программы из официальных магазинов приложений. Из них 6037 предназначались для Android-устройств, а 11 626 — для платформы iOS. Представленные в исследовании выводы показывают, что риски существуют в обеих экосистемах. Причём серьёзные проблемы зафиксированы как среди популярных решений, так и среди менее известных разработок.

Среди самых настораживающих результатов выделяется использование незащищённого облачного хранилища в 83 приложениях для Android. Кроме того, в 10 случаях эксперты обнаружили открытые учётные данные от Amazon Web Services, что может привести к утечке информации или прямому доступу к внутренней инфраструктуре.

Наиболее массовая проблема касается методов шифрования. В Zimperium отмечают, что 92% проанализированных приложений опираются на устаревшие или слабые криптографические подходы. Даже среди наиболее загружаемых программ — тех, что входят в сотню самых популярных — обнаружены случаи использования фиксированных ключей и алгоритмов, давно признанных уязвимыми.

Как подчёркивает старший инженер по безопасности в компании Black Duck Борис Ципот, халатность в настройке хранилищ и неосторожное обращение с логинами в коде программ фактически открывают доступ к данным для любых злоумышленников. По его словам, такая ситуация сравнима с тем, как если бы кто-то оставил дом открытым, утверждая, что тот надёжно защищён.

Полная версия отчета представлена по ссылке.