Специалисты компании High-Tech Bridge проанализировали наиболее популярные в Google Play Store криптокошельки.
За последние несколько лет популярность криптовалюты существенно возросла, на сегодняшний день существует более чем 1,3 тыс. видов электронной валюты. Стоимость одной из наиболее популярных и дорогих - Bitcoin – недавно преодолела отметку в $10 тыс. Различные стартапы, независимые эксперты и даже банки предлагают широкий спектр мобильных приложений для криптовалют. Число программ для хранения, обработки и продажи криптовалют в одном только Google Play Store уже превышает 2 тыс. и продолжает расти. С помощью инструмента Mobile X-Ray специалисты компании High-Tech Bridge проанализировали наиболее популярные криптокошельки в Google Play в категории «Финансы» и выяснили, что свыше 90% из них подвержены уязвимостям того или иного рода.
Эксперты изучили как приложения с числом установок до 100 тыс., так и те, количество инсталляций которых превышает 500 тыс. Как оказалось, 93% программ с числом установок до 100 тыс. содержат по меньшей мере 3 уязвимости среднего уровня опасности, в 90% приложений из данной категории было обнаружено по меньшей мере 2 опасные проблемы. Также выяснилось, что 87% кошельков уязвимы к атакам «человек посередине», позволяющей перехват информации, 66% приложений содержат вшитые конфиденциальные данные (в том числе пароли и ключи API), 57% приложений используют функционал, подвергающий риску конфиденциальность пользователя, 80% приложений отправляют данные в незашифрованном виде по HTTP, 30% применяют ненадежное либо неэффективное шифрование, 77% приложений используют SSLv3 или TLS 1.0, бэкенды (API или web-сервисы) 44% приложений оказались уязвимы к атаке Poodle. 100% приложений не имеют защиты против реверс-инжиниринга. Самыми распространенными уязвимостями (из рейтинга OWASP Top 10) в данной категории приложений стали ненадлежащее использование платформы, неэффективное шифрование и незащищенное хранилище данных.
Что касается приложений с числом установок до 500 тыс., здесь ситуация несколько лучше. В частности, по сравнению с предыдущей категорией только 66% и 87% приложений содержали минимум 3 уязвимости среднего уровня опасности и 2 серьезные уязвимости соответственно. К атакам «человек посередине» оказались уязвимы 34% программ, вшитые пароли и ключи API содержали 34% приложений, а в 17% кошельков используемый функционал подвергал опасности конфиденциальность пользователя. 37% и 24% приложений отправляли данные в незашифрованном виде или использовали ненадежное шифрование соответственно, 70% использовали SSLv3 или TLS 1.0, а 14% приложений содержали уязвимость Poodle. В 100% изученных приложений отсутствовала защита от реверс-инжиниринга.
В случае приложений с числом установок, превышающим 500 тыс., результаты оказались следующими: 94% приложений содержали минимум 3 среднеопасных уязвимости; 77% оказались подвержены по меньшей мере 2 опасным уязвимостям; 17% были уязвимы к атакам «человек посередине»; 44% приложений содержали вшитые пароли и ключи API; функционал, подвергающий опасности конфиденциальность был обнаружен в 66% приложений; 66% программ отправляли данные в незашифрованном виде; в 50% приложений было реализовано ненадежное шифрование; 90% программ использовали SSLv3 и TLS 1.0 и, наконец, защита от реверс-инжиниринга отсутствовала в 100% приложений. Как и в предыдущих двух случаях, наиболее распространенными оказались следующие уязвимости: ненадлежащее использование платформы, неэффективное шифрование и незащищенное хранилище данных.
С помощью бесплатного инструмента Mobile X-Ray пользователи самостоятельно могут проверить безопасность своих мобильных приложений.
Большой взрыв знаний каждый день в вашем телефоне