Эксперты по кибербезопасности обнаружили 48,8 тысяч уязвимостей в популярных Android-приложениях российских разработчиков, пишет «Ъ», ссылаясь на исследование компании AppSec Solutions. Это на 63% больше проблем, чем годом ранее. Количество критических угроз при этом составило более 19 тысяч.
В выборку попали более 1,2 тысяч Android-приложений, которые тестировали методом «чёрного ящика» — то есть без доступа к исходному коду.
Лидерами по общему количеству выявленных проблем оказались программы в категориях «Игры», «Стриминговые платформы», «Финансы», «Приложения для бизнеса» и «СМИ». В финансовом секторе количество опасных уязвимостей за последние три года выросло почти в десять раз.
Причины роста уязвимостей:
- банковские приложения интегрируют сторонние сервисы, из-за чего растёт количество «зашитых» в код бэкдоров и точек небезопасного хранения чувствительных данных;
- на результаты повлияла и возросшая глубина анализа: «часть проблем, которые фиксируются сейчас, раньше попросту не детектировалась», — говорят в компании;
- кроме того, разработчики стали чаще использовать код, сгенерированный ИИ — он тиражирует ошибки и небезопасные паттерны хранения чувствительных данных.
«С одной стороны, ИИ ускоряет разработку, с другой — кодовая база растёт и потенциальные ошибки накапливаются. ИИ хорошо справляется с написанием работающего кода, но именно безопасный код он умеет писать не всегда, потому что был обучен на примерах, которые сейчас представляют собой устаревшие или уязвимые практики разработки»— Сергей Полунин, руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис»
В этому году число уязвимостей будет продолжать расти, считают эксперты.