Сервисы доставки еды, онлайн-аптеки и DIY-платформы — самые уязвимые в мобильных приложениях
Исследование Роскачества и «Солар» выявило критические уязвимости в 70 популярных мобильных приложениях. Наиболее рискованные категории: доставка еды, товары для дома и дачи, онлайн-аптеки. Основные угрозы — MITM-атаки через небезопасный DNS, HTTP, SSL и рефлексию.
Центр цифровой экспертизы Роскачества совместно с группой компаний «Солар» провёл анализ безопасности мобильных приложений из пяти категорий: сервисы доставки еды, онлайн-аптеки, маркетплейсы электроники и бытовой техники, платформы по продаже товаров для дома и дачи (DIY), а также доставка цветов и подарков. В исследовании участвовало около 70 приложений, соответствующих двум критериям: рейтинг выше 4 звёзд и более 500 тыс. скачиваний на сентябрь 2025 года.
Общая аудитория охватывает десятки миллионов пользователей:
— сервисы доставки еды — около 50 млн;
— магазины электроники и бытовой техники — свыше 72 млн;
— онлайн-аптеки — более 26,5 млн;
— DIY-платформы — свыше 15 млн.
Аналитика проводилась с помощью инструмента Solar appScreener, модуль SAST (Static Application Security Testing). Анализ выполнялся без декомпиляции кода — за счёт автоматического бинарного сканирования, что позволяет выявлять уязвимости даже в обфусцированных сборках. Исследование не затрагивало iOS отдельно — фокус был на Android, где сосредоточена основная масса пользователей и где чаще применяются упрощённые практики обеспечения безопасности.
Выявлены пять ключевых категорий уязвимостей, создающих условия для MITM-атак (man-in-the-middle) и компрометации конфиденциальных данных:
Небезопасное использование DNS
Все приложения доставки еды, онлайн-аптек и DIY-сервисов содержат обращения к DNS-серверам без шифрования или проверки подлинности. Это позволяет злоумышленнику перехватить запрос и перенаправить трафик на поддельный сервер. Пользователь видит легитимное приложение, но передаёт данные — логины, пароли, платежную информацию — мошенникам.
Небезопасная рефлексия
Уязвимость распространена почти во всех приложениях. Она позволяет злоумышленнику вызывать приватные методы, если имя класса или функции формируется на основе пользовательского ввода. Это может привести к обходу авторизации, чтению внутренних данных, выполнению произвольного кода. В 75% случаев уязвимость встречается в маркетплейсах электроники.
Слабая реализация SSL/TLS
Большинство приложений используют собственные, некорректные механизмы проверки сертификатов: отключение валидации, принятие самоподписанных сертификатов, игнорирование цепочки доверия. При использовании публичного Wi-Fi злоумышленник может подменить сертификат и перехватить токены авторизации, данные карт и персональную информацию. Уязвимость найдена в 93% онлайн-аптек, 75% сервисов доставки еды и 72% DIY-приложений.
Хранение паролей и токенов с помощью слабых хеш-функций
Более чем в 75% приложений используется MD5, SHA-1 или аналоги без соли (salt) и итераций. Это позволяет восстановить пароли при утечке базы данных с помощью радужных таблиц. Такие практики нарушают базовые принципы информационной безопасности и повышают риски компрометации сотен тысяч аккаунтов одновременно.
Использование протокола HTTP вместо HTTPS
Пятая по частоте уязвимость — передача данных по незашифрованному каналу. Это открывает возможность перехвата токенов, персональных данных и истории заказов. Особенно опасна в сетях общественного доступа, где злоумышленник может использовать простое оборудование для прослушивания трафика.
Эти уязвимости объединяет одно: они позволяют реализовать MITM-атаку без необходимости взлома самого устройства. Достаточно контроля над сетью — публичным Wi-Fi, скомпрометированным маршрутизатором или DNS-провайдером — чтобы получить доступ к данным.
Результаты исследования показывают, что безопасность чаще всего становится второстепенной задачей на этапе разработки. Компании гонятся за скоростью выхода на рынок, функциональностью, UX, но не внедряют Secure SDLC (цикл безопасной разработки) на ранних стадиях. Отсутствие автоматизированного тестирования, проверки зависимостей и анализа кода до релиза приводит к тому, что миллионы пользователей работают с приложениями, которые передают данные в открытом виде.
Для снижения рисков эксперты рекомендуют:
— отказаться от использования HTTP и непроверяемых DNS-решений;
— применять стандартные, аудируемые реализации TLS;
— исключить рефлексию на основе внешнего ввода;
— хранить пароли только с современными алгоритмами (scrypt, Argon2);
— внедрять инструменты автоматической проверки безопасности в CI/CD.
Solar appScreener, используемый в исследовании, уже более 10 лет помогает компаниям из банков, ИТ, ритейла и энергетики контролировать безопасность на всех этапах разработки. Система поддерживает SAST, DAST, OSA и анализ сторонних компонентов, интегрируется в DevOps-процессы и работает с широким спектром языков.
Сервисы, собирающие финансовые, медицинские и персональные данные, обязаны подходить к безопасности системно. Текущая ситуация — не случайность, а следствие экономии на защите в пользу скорости. Но цена этой экономии — доверие миллионов пользователей.
— сервисы доставки еды — около 50 млн;
— магазины электроники и бытовой техники — свыше 72 млн;
— онлайн-аптеки — более 26,5 млн;
— DIY-платформы — свыше 15 млн.
Аналитика проводилась с помощью инструмента Solar appScreener, модуль SAST (Static Application Security Testing). Анализ выполнялся без декомпиляции кода — за счёт автоматического бинарного сканирования, что позволяет выявлять уязвимости даже в обфусцированных сборках. Исследование не затрагивало iOS отдельно — фокус был на Android, где сосредоточена основная масса пользователей и где чаще применяются упрощённые практики обеспечения безопасности.
Выявлены пять ключевых категорий уязвимостей, создающих условия для MITM-атак (man-in-the-middle) и компрометации конфиденциальных данных:
Небезопасное использование DNS
Все приложения доставки еды, онлайн-аптек и DIY-сервисов содержат обращения к DNS-серверам без шифрования или проверки подлинности. Это позволяет злоумышленнику перехватить запрос и перенаправить трафик на поддельный сервер. Пользователь видит легитимное приложение, но передаёт данные — логины, пароли, платежную информацию — мошенникам.
Небезопасная рефлексия
Уязвимость распространена почти во всех приложениях. Она позволяет злоумышленнику вызывать приватные методы, если имя класса или функции формируется на основе пользовательского ввода. Это может привести к обходу авторизации, чтению внутренних данных, выполнению произвольного кода. В 75% случаев уязвимость встречается в маркетплейсах электроники.
Слабая реализация SSL/TLS
Большинство приложений используют собственные, некорректные механизмы проверки сертификатов: отключение валидации, принятие самоподписанных сертификатов, игнорирование цепочки доверия. При использовании публичного Wi-Fi злоумышленник может подменить сертификат и перехватить токены авторизации, данные карт и персональную информацию. Уязвимость найдена в 93% онлайн-аптек, 75% сервисов доставки еды и 72% DIY-приложений.
Хранение паролей и токенов с помощью слабых хеш-функций
Более чем в 75% приложений используется MD5, SHA-1 или аналоги без соли (salt) и итераций. Это позволяет восстановить пароли при утечке базы данных с помощью радужных таблиц. Такие практики нарушают базовые принципы информационной безопасности и повышают риски компрометации сотен тысяч аккаунтов одновременно.
Использование протокола HTTP вместо HTTPS
Пятая по частоте уязвимость — передача данных по незашифрованному каналу. Это открывает возможность перехвата токенов, персональных данных и истории заказов. Особенно опасна в сетях общественного доступа, где злоумышленник может использовать простое оборудование для прослушивания трафика.
Эти уязвимости объединяет одно: они позволяют реализовать MITM-атаку без необходимости взлома самого устройства. Достаточно контроля над сетью — публичным Wi-Fi, скомпрометированным маршрутизатором или DNS-провайдером — чтобы получить доступ к данным.
Результаты исследования показывают, что безопасность чаще всего становится второстепенной задачей на этапе разработки. Компании гонятся за скоростью выхода на рынок, функциональностью, UX, но не внедряют Secure SDLC (цикл безопасной разработки) на ранних стадиях. Отсутствие автоматизированного тестирования, проверки зависимостей и анализа кода до релиза приводит к тому, что миллионы пользователей работают с приложениями, которые передают данные в открытом виде.
Для снижения рисков эксперты рекомендуют:
— отказаться от использования HTTP и непроверяемых DNS-решений;
— применять стандартные, аудируемые реализации TLS;
— исключить рефлексию на основе внешнего ввода;
— хранить пароли только с современными алгоритмами (scrypt, Argon2);
— внедрять инструменты автоматической проверки безопасности в CI/CD.
Solar appScreener, используемый в исследовании, уже более 10 лет помогает компаниям из банков, ИТ, ритейла и энергетики контролировать безопасность на всех этапах разработки. Система поддерживает SAST, DAST, OSA и анализ сторонних компонентов, интегрируется в DevOps-процессы и работает с широким спектром языков.
Сервисы, собирающие финансовые, медицинские и персональные данные, обязаны подходить к безопасности системно. Текущая ситуация — не случайность, а следствие экономии на защите в пользу скорости. Но цена этой экономии — доверие миллионов пользователей.
© 30.10.2025
Закажите обратный звонок
Оставьте свой телефон, мы свяжемся с вами в ближайшее время
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности
Контакты:
info@smartinfra.ru
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
© 2025