Мобильные приложения российских компаний защищены в два раза лучше веб-порталов

Мобильные приложения российских компаний защищены в два раза лучше веб-порталов
Фото: mirbelogorya.ru

ERID:  2SDnjdVEhK7

Уязвимости с высоким уровнем критичности были обнаружены в 17% корпоративных веб-приложений (корпоративные порталы, личные кабинеты клиентов и т.п.), исследованных экспертами отдела анализа защищенности Solar JSOC группы компаний «Солар»  (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности)  в 2023 году. Среди мобильных приложений этот показатель примерно в два раза меньше – 7%. Таким образом, мобильные приложения защищены лучше и менее подвержены критическим уязвимостям. 

Больше половины веб-приложений имеют уязвимости высокой или средней степени критичности, то есть через них можно нанести существенный ущерб информационным активам компании. При этом абсолютное большинство уязвимостей обладают низкой сложностью эксплуатации – не требуют выполнения каких-либо дополнительных условий. А 46% обнаруженных недостатков потенциальный хакер может использовать даже без авторизованного доступа.  

Недостатки высокой и средней степени критичности есть и в мобильных приложениях. Большинство (77%) уязвимостей сконцентрировано в серверной части, остальные – в клиентской.   Более того, почти все критичные для бизнеса уязвимости были выявлены именно в серверной части. 

Самой распространенной проблемой как мобильных, так и веб-приложений уже несколько лет остаются недостатки контроля доступа (уязвимость выявлена в 60% и 75% проектов соответственно). Успешная эксплуатация этой уязвимости чревата несанкционированным доступом к данным пользователей и информации, которая обрабатывается в приложении, а также позволяет пользователю действовать вне установленных привилегий, что может быть использовано злоумышленником для компрометации чувствительных данных или получения дополнительных функциональных возможностей. 

Ещё одной серьёзной проблемой веб-приложений является раскрытие отладочной и конфигурационной информации, включая логины, пароли и  cookie пользователей, настройки используемых СУБД, внутренние IP-адреса и прочие сведения. Недостаток обнаружен в 73% проектов. Подобная информация позволяет злоумышленнику упростить поиск известных уязвимостей и подготовку последующих атак.   Также треть веб-приложений может быть взломана с помощью атаки XSS (межсайтовое внедрение сценариев), в результате которой злоумышленник может менять содержимое отображаемой страницы и выполнять действия от имени пользователей. 

В серверной части мобильных приложений также встречаются такие недостатки, как раскрытие отладочной и конфигурационной информации (настройки, внутренние адреса, компоненты приложения) и нарушение бизнес-логики приложения. Для клиентской части большинства приложений характерны небезопасное хранение данных на устройстве, отсутствие  обфускации  исходного кода приложения и раскрытие в нём информации о тестовых доменах и токенах. 

«Приложения (как мобильные, так и веб) интересны злоумышленникам, так как содержат конфиденциальные данные, а также информацию, которая помогает реализовать успешную атаку на организацию. Например, приложения могут содержать ошибки, позволяющие злоумышленникам получить доступ к персональным данным третьих лиц, или даже стать начальной точкой вектора преодоления внешнего периметра. Проблема сейчас особенно актуальна, так как все бизнесы активно развивают дистанционные форматы взаимодействия с партнёрами и клиентами, и часто, желая быстрее выпустить приложение, упускают из виду вопросы ИБ»,  –  сказал руководитель отдела анализа защищенности Solar JSOC ГК «Солар» Александр Колесов .

Ранее ГК «Солар»  объявляла   о запуске сервиса Solar CPT. Сервис выявляет критические уязвимости и недостатки меняющегося внешнего ИТ-периметра, которыми могут воспользоваться хакеры. Найденные в ходе сканирования недостатки верифицируются экспертами анализа защищенности, после чего заказчик получает практические рекомендации по защите. В настоящее время ведутся пилотные проекты с организациями из ИТ-отрасли и перерабатывающей промышленности.

С полной версией отчёта Solar JSOC «Ключевые уязвимости информационных систем российских компаний» можно ознакомиться по  ссылке .

Реклама: ПАО «Ростелеком», ИНН:  7707049388

Екатерина Божко

Новости соседних регионов по теме:

Новости России, 10 апреля. — Больше половины веб-приложений имеют уязвимости высокой или средней степени критичности, то есть через них можно нанести существенный ущерб информационным активам компании.
14:19 10.04.2024 Афанасий-биржа - Тверь
Уязвимости с высоким уровнем критичности были обнаружены в 17% корпоративных веб-приложений (корпоративные порталы, личные кабинеты клиентов и т.п.),
13:16 10.04.2024 Газета Старицкий Вестник - Тверь
 
По теме
Управление Госавтоинспекции региона совместно с Министерством образования и Министерством цифрового развития Белгородской области разработали систему онлайн-тестирования для учеников 1–11-х классов всех школ региона.
Красный галстук – цвет Победы! - КПРФ 19 мая на Красной площади в Москве красногалстучная Пионерия отметила очередную годовщину основания Пионерской организации имени Ленина.
КПРФ
Концерт Академического хора Белгородской филармонии прошёл в селе Истобное - Сетевое издание Просторы 31 Фото: Центр культурного развития села Истобное Губкинского горокруга Советские шлягеры, обработки русских народных песен, в том числе и белгородские, радовали зрителей виртуозным исполнением.
Сетевое издание Просторы 31