Эксперты предупредили об опасных уязвимостях в образовательных приложениях

Приложения образовательных сервисов оказались самыми уязвимыми среди всех мобильных приложений в российских сторах в 2024 году — в них были обнаружены 683 опасные уязвимости, пишут «Ведомости» со ссылкой на экспертов AppSec Solutions. Злоумышленники могут использовать эти уязвимости для кражи персональных данных или отправки пользователям фишинговых ссылок.

Эксперты проанализировали около 100 образовательных приложений, в том числе для изучения иностранных языков и подготовки к экзаменам. По словам представителя AppSec Solutions, в некоторых приложениях чувствительные данные, включая пароли, можно хранить в публичном файле, до которого без труда могут добраться злоумышленники. В категории «Образование» за прошлый год обнаружено более 200 случаев такого хранения данных, тогда как в 2023-м их было 135. 

Общее число уязвимостей в категории «Образование» в 2024 году составило 1773, по сравнению с 2023 годом этот показатель сократился — тогда специалисты выявили 2507 уязвимостей. При этом каждая четвертая из выявленных в прошлом году уязвимостей грозит серьезными последствиями, предупредил директор по продукту «Стингрей» компании AppSec Solutions Юрий Шабалин.

Наибольшее общее количество уязвимостей было обнаружено в фитнес-приложениях, приложениях аптек, онлайн-магазинов и сервисов объявлений. Руководитель департамента аудита и консалтинга F6 (ранее Group IB и F.A.A.C.T.) Евгений Янов связал большое число уязвимостей с недостаточностью финансирования и меньшим бюджетом на специалистов по информационной безопасности (ИБ) или внешние аудиты. 

По словам руководителя ИБ-направления «Телеком биржи» Александра Блезнекова, большое количество уязвимостей в образовательных приложениях может быть связано со скромными бюджетами на разработку и, соответственно, низкой квалификацией специалистов. Директор по продуктам Servicepipe Михаил Хлебунов также отметил, что у игроков в сфере онлайн-образования ограниченные бюджеты как на IT, так и на ИБ, а потому уязвимости в коде их приложений «были, есть и будут». 

Эксперты AppSec Solutions исследовали в общей сложности почти 2000 наиболее скачиваемых мобильных приложений в магазинах App Store, RuStore и Google Play. Всего было найдено 32 490 уязвимостей против 41 493 в 2023 году. По словам Блезнекова, как минимум одну критическую уязвимость содержат около 70% десктопных и мобильных сервисов.

Ранее в AppSec Solutions выяснили, что для утечки личных данных уязвимы и большинство приложений для детей и родителей. Наиболее распространенными уязвимостями оказались «хранение чувствительной информации в открытом виде», «недостаточная проверка среды выполнения» и «ошибки валидации данных». Последние, в частности, дают хакерам возможность получить доступ к любым экранам пользователя без его ведома.