Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

3555 дыр за год. В банковских приложениях из App Store и Google Play нашли рекордное число уязвимостей

уязвимости финтех приложения безопасность банки.
3555 дыр за год. В банковских приложениях из App Store и Google Play нашли рекордное число уязвимостей
уязвимости финтех приложения безопасность банки.

Исследователи нашли 1541 случай, когда конфиденциальные данные хранились прямо в коде приложения.

image

В популярных финансовых приложениях, доступных в App Store, Google Play и RuStore, за год нашли 3555 уязвимостей, 2006 из которых получили высокий или критический уровень. Такие данные привела компания AppSec Solutions по итогам анализа 90 приложений из банковского сектора, микрозаймов и страхования. Названия сервисов в компании не раскрыли.

По данным AppSec Solutions, в 2023 году в таких приложениях нашли 4500 уязвимостей, но высокий или критический уровень тогда имели только 183. В 2024 году исследователи выявили 1583 уязвимости, из которых 569 отнесли к высоким или критическим. В компании отметили, что среди изученных отраслей финансовые сервисы стабильно лидируют по числу критических проблем.

Чаще всего специалисты выявляли случаи, когда чувствительная информация оказывалась прямо в коде приложения. Всего обнаружена 1541 такая уязвимость. Подобные элементы позволяют злоумышленникам с помощью декомпиляции извлекать конфиденциальные данные и упрощают взлом приложения.

Как следует из оценки компании, получив доступ к инфраструктуре владельца сервиса, злоумышленники могут похитить персональные данные и банковские реквизиты, а также авторизоваться под видом пользователя и совершать операции от его имени. Такая картина показывает, что практика безопасной разработки, при которой меры защиты встраиваются на каждом этапе проектирования и эксплуатации, пока не получила широкого распространения даже в банковских сервисах.

Проблема касается не только российского рынка. Международная технологическая группа Thales сообщала, что атаки через API привели к 40 000 инцидентов информационной безопасности. В первом полугодии 2025 года на финансовые услуги пришлись 27% всех атак, направленных на API.

Рост числа уязвимостей в отчетах не обязательно означает резкое увеличение новых ошибок в коде, считают эксперты. Часть прироста может объясняться тем, что специалисты и злоумышленники стали использовать больше инструментов для поиска слабых мест, а диагностика таких проблем стала точнее.

Современные сканеры выявляют широкий круг потенциальных уязвимостей, эксплуатация которых может привести к краже данных, компрометации аккаунтов, хищению денег, атакам на инфраструктуру и прямым финансовым потерям бизнеса. В зависимости от типа ошибки под угрозой оказываются не только сведения о клиентах, но и данные самой компании, включая серверную инфраструктуру.

Одной из ключевых причин такой ситуации эксперты называют недостаточную проверку исходного кода до попадания в релизную сборку. Риски повышают использование шаблонных решений, подключение недостаточно проверенных компонентов с открытым исходным кодом и несвоевременное обновление библиотек. Ошибка в популярной библиотеке в таком случае делает уязвимыми сразу многие приложения, которые ее используют.

Дополнительный фактор связан со сжатыми сроками разработки. В таких условиях в финальную версию могут попадать логические ошибки, проблемы с валидацией вводимых данных и другие просчеты. На ситуацию также влияют развитие инструментов для поиска уязвимостей и обычные ошибки разработки.

Пользователям рекомендуют регулярно обновлять приложения, поскольку новые версии нередко содержат патчи, закрывающие уязвимости и исправляющие ошибки в коде.