90% криптовалютных мобильных приложений находятся под угрозой взлома
Подавляющее большинство мобильных криптовалютных кошельков недостаточно проработаны с точки зрения уязвимостей и безопасности.
Именно к такому выводу пришла компания, которая занимается вопросами безопасности в мобильных устройствах Security Tech High-Tech Bridge, на основе анализа более 2000 приложений в Google Play. Из топ 30 криптовалютных приложений, с количеством установок до 100 000, по меньшей мере, 93% содержат по крайней мере три уязвимости «средней степени риска» и 90% содержат по крайней мере две проблемы с высоким уровнем риска.
Среди наиболее загружаемых приложений цифры немного лучше, но ненамного. Девяносто четыре процента приложений с более чем 500 000 установок содержат по меньшей мере три уязвимости «средней степени риска» и 77% содержат по крайней мере две уязвимости “высокой степени риска”.
Наиболее распространенные уязвимости, согласно анализу, включают «небезопасное хранение данных», что означает, что доступ к конфиденциальной информации может быть получен третьими лицами, и «недостаточная криптография», которая указывает, что какая-то криптография была реализована для защиты данных, но использовалась неправильно.
Короче говоря, это означает, что пользователи этих приложений могут подвергнуться риску.
Илья Колоченко, генеральный директор и основатель High-Tech Bridge:
В зависимости от функциональности приложения, дизайна и уязвимостей возможен широкий спектр неприятностей, вплоть до утечки конфиденциальных данных и даже кражи кошелька (частного ключа).
К сожалению, меня не удивляют результаты исследования.
Колоченко приписывает плохие оценки недостаточному вниманию удаляемому безопасности в разработке мобильных приложений.
На протяжении многих лет компании специализирующиеся на кибербезопасности, равно как и независимые эксперты твердили разработчикам мобильных приложений о рисках "гибкой" (agile) разработки, которые обычно не предполагают никаких фреймворков для обеспечения безопасного проектирования, безопасного кодирования и тестирования приложений с точки зрения безопасности.
Пользователи и разработчики могут использовать бесплатный инструмент для анализа безопасности, Mobile X-Ray, который подключается к мобильным приложениям и позволяет обнаружить слабые места.
Однако, когда дело доходит до обеспечения безопасности денежных средств, даже фирма, которая провела исследование допускает, что проблем может быть еще больше. В своем анализе она сконцентрировалась на фронтенде, а с бекендом может возникнуть не меньше проблем.