Порядка 90% популярных мобильных криптовалютных кошельков содержат опасные уязвимости

За последние несколько лет популярность криптовалюты существенно возросла, на сегодняшний день существует более чем 1,3 тыс. видов электронной валюты. Стоимость одной из наиболее популярных и дорогих - Bitcoin – недавно преодолела отметку в $10 тыс. Различные стартапы, независимые эксперты и даже банки предлагают широкий спектр мобильных приложений для криптовалют. Число программ для хранения, обработки и продажи криптовалют в одном только Google Play Store уже превышает 2 тыс. и продолжает расти. С помощью инструмента Mobile X-Ray специалисты компании High-Tech Bridge проанализировали наиболее популярные криптокошельки в Google Play в категории «Финансы» и выяснили, что свыше 90% из них подвержены уязвимостям того или иного рода.

Эксперты изучили как приложения с числом установок до 100 тыс., так и те, количество инсталляций которых превышает 500 тыс. Как оказалось, 93% программ с числом установок до 100 тыс. содержат по меньшей мере 3 уязвимости среднего уровня опасности, в 90% приложений из данной категории было обнаружено по меньшей мере 2 опасные проблемы. Также выяснилось, что 87% кошельков уязвимы к атакам «человек посередине», позволяющей перехват информации, 66% приложений содержат вшитые конфиденциальные данные (в том числе пароли и ключи API), 57% приложений используют функционал, подвергающий риску конфиденциальность пользователя, 80% приложений отправляют данные в незашифрованном виде по HTTP, 30% применяют ненадежное либо неэффективное шифрование, 77% приложений используют SSLv3 или TLS 1.0, бэкенды (API или web-сервисы) 44% приложений оказались уязвимы к атаке Poodle. 100% приложений не имеют защиты против реверс-инжиниринга. Самыми распространенными уязвимостями (из рейтинга OWASP Top 10) в данной категории приложений стали ненадлежащее использование платформы, неэффективное шифрование и незащищенное хранилище данных.

Что касается приложений с числом установок до 500 тыс., здесь ситуация несколько лучше. В частности, по сравнению с предыдущей категорией только 66% и 87% приложений содержали минимум 3 уязвимости среднего уровня опасности и 2 серьезные уязвимости соответственно. К атакам «человек посередине» оказались уязвимы 34% программ, вшитые пароли и ключи API содержали 34% приложений, а в 17% кошельков используемый функционал подвергал опасности конфиденциальность пользователя. 37% и 24% приложений отправляли данные в незашифрованном виде или использовали ненадежное шифрование соответственно, 70% использовали SSLv3 или TLS 1.0, а 14% приложений содержали уязвимость Poodle. В 100% изученных приложений отсутствовала защита от реверс-инжиниринга.

В случае приложений с числом установок, превышающим 500 тыс., результаты оказались следующими: 94% приложений содержали минимум 3 среднеопасных уязвимости; 77% оказались подвержены по меньшей мере 2 опасным уязвимостям; 17% были уязвимы к атакам «человек посередине»; 44% приложений содержали вшитые пароли и ключи API; функционал, подвергающий опасности конфиденциальность был обнаружен в 66% приложений; 66% программ отправляли данные в незашифрованном виде; в 50% приложений было реализовано ненадежное шифрование; 90% программ использовали SSLv3 и TLS 1.0 и, наконец, защита от реверс-инжиниринга отсутствовала в 100% приложений. Как и в предыдущих двух случаях, наиболее распространенными оказались следующие уязвимости: ненадлежащее использование платформы, неэффективное шифрование и незащищенное хранилище данных.

С помощью бесплатного инструмента Mobile X-Ray пользователи самостоятельно могут проверить безопасность своих мобильных приложений.