На главную страницу ЗАО Софткей
 Главная   Новости   Статьи   Пресс-релизы   Рассылки 
 
MS O365 test

Еда в обмен на пароли

30.07.2018 23:13 / Новости мира ПО

Компания Ростелеком-Solar, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, провела первое в России исследование защищенности мобильных приложений для заказа еды.

Сервисы для заказа еды становятся все более популярными. Рынок доставки еды из ресторанов стремительно перетекает из оффлайна в онлайн. По прогнозам экспертов, рост онлайн-компоненты этого рынка составит не менее 20% в год.

"Как любые мобильные приложения, сервисы для заказа еды могут содержать уязвимости. В данном случае риски связаны с тем, что приложения оперируют конфиденциальными данными пользователей. В первую очередь - реквизитами их банковских карт. Наличие уязвимостей в программном коде приложений может привести к утечке этих данных. После недавнего скандала с приложением Burger King, которое якобы ведет непрерывную видеозапись экрана, в том числе процесса ввода реквизитов банковской карты, мы решили проверить защищенность мобильных приложений для заказа еды", - говорит Даниил Чернов, руководитель направления Solar inCode компании Ростелеком-Solar.

Анализ безопасности кода выполнялся автоматически с помощью Solar inCode. Решение использует методы статического, динамического и интерактивного анализа и работает без доступа к исходному коду. По итогам анализа программа формирует отчет, где приводится список обнаруженных уязвимостей и дается общая оценка защищенности приложения.

Для участия в исследовании были выбраны популярные мобильные приложения для заказа еды - "Макдоналдс", Subway Russia, KFC, Burger King, "Тануки", "Доминос Пицца", "Папа Джонс", "Шоколадница", Pizza Hut, "Додо Пицца", Суши Wok, "СушиВесла", "Почетный Гость", Black Star Burger, Starbucks, "Якитория", "Чайхона №1". Большинство приложений рассматривались в вариантах для мобильных операционных систем iOS и Android. Исключение составили Subway Russia (только версия для Android) и "Чайхона №1" (только версия для iOS).

При подготовке исследования декомпиляция и деобфускация приложений не производилась. Статический анализ осуществлялся в отношении бинарного кода.

Практически все Android-приложения содержат те или иные ошибки в реализации шифрования и передачи данных - небезопасный алгоритм дополнения, "пустой метод", когда проверяются не все поля сертификата и т.д. Более чем в половине проверенных приложений есть недекларированная возможность. Наконец, очень часто встречается незащищенное хранение паролей.

Явного лидера по уровню защищенности среди Android-приложений выделить не удалось - первое место поделили Black Star Burger, Pizza Hut и KFC, с минимальным отрывом к ним примкнуло "СушиВесла". Количество уязвимостей среднего уровня у них примерно такое же, как и у конкурентов, но за счет отсутствия известных критических уязвимостей перечисленные приложения более безопасны с точки зрения защиты пользовательских данных.

"Доминос Пицца" также не содержит известных критических уязвимостей, но высокое число вхождений уязвимостей среднего уровня не позволило ему занять более высокое место в рейтинге безопасных приложений. Приложения "Шоколадница" и "Додо Пицца". "Папа Джонс", "Почетный Гость", Суши Wok, "Тануки", Burger King, Subway Russia и Starbucks находятся примерно одном уровне защищенности и демонстрируют результат выше среднего по отрасли.

Приложения "Якитория" и "Макдоналдс" содержат в исходном коде более 5 вхождений критических уязвимостей, поэтому их уровень защищенности нельзя назвать удовлетворительным.

Приложения под iOS демонстрируют низкий уровень защищенности - в основном за счет высокого числа вхождений уязвимостей среднего уровня. Также нет ни одного приложения, в котором не встречалось бы критических уязвимостей.

Практически все приложения под iOS имеют слабый алгоритм хеширования, около трети - слабый алгоритм шифрования. В большинстве исследуемых приложений обнаружились такие потенциальные уязвимости, как использование метода openURL, использование NSLog и использование буфера обмена.

Наиболее высокий уровень защищенности среди iOS-приложений продемонстрировали "Тануки", Starbucks и "Шоколадница". Количество критических и среднего уровня уязвимостей в остальных приложениях не позволяет назвать их уровень защищенности удовлетворительным.


Предыдущая новость

Windows: Перезагрузка

30.07.2018 23:02
Новости мира ПО

Microsoft тестирует новую функцию, доступную участникам программы Windows Insider. Теперь Windows 10 использует машинное обучение, чтобы подобрать правильное время для установки обновлений

Следующая новость

Майнинг под прикрытием

31.07.2018 08:56
Новости мира ПО

Исследователи "Лаборатории Касперского" обнаружили нового криптомайнера PowerGhost, который распространялся в корпоративных сетях по всему миру, заражая рабочие станции и серверы

Новостные рубрики
Все новости
Новости мира ПО
Рассылки
Новости мира ПО
Статьи: Мир ПО
Статьи: Программы
Статьи: Игры
Архив выпусков
  «   Октябрь 2018   »  
Пн Вт Ср Чт Пт Сб Вс
1234567
891011121314
15161718192021
22232425262728
293031    
Поиск в архиве

Логин / пароль:
запомнить




Наши партнеры:

 САПР и графика



Написать редактору  | RSSЭкспорт новостей и обзоров


Rambler's
Top100 Rambler's Top100

Разработка компании «Битрикс»
Разработано
«Битрикс»


Copyright © 2001-2018 ЗАО «Софткей»