Десятка самых популярных в России мобильных приложений для покупки одежды на iOS содержит критические уязвимости, пишет «Коммерсантъ» со ссылкой на «Ростелеком-Solar». Компания изучила приложения Mango, Asos, Shein, Bonprix, Wildberries, H&M, KupiVIP, Bershka, Joom и Lamoda в версиях для iOS и Android. iOS-версии оказались защищены хуже.
Согласно исследованию, все десять изученных приложений имеют уязвимости, которые могут дать злоумышленникам доступ к аккаунту пользователя или собрать информацию о его мобильном устройстве, пишет «Коммерсантъ». Чаще всего встречались ошибки в шифровании, небезопасная реализация SSL и слабый алгоритм хеширования.
Так, все десять iOS-приложений используют устаревшие хеш-функции, которые не обеспечивают достаточно стойкого шифрования. «Хотя эксплуатация этой уязвимости является непростой задачей, в случае успеха злоумышленник может получить доступ к аккаунту пользователя»,— говорится в отчете. Кроме того, каждое из приложений содержит уязвимости, позволяющие злоумышленнику получить избыточную информацию об устройстве пользователя и с помощью нее спланировать атаку.
В целом на Android наиболее защищены приложения Mango, Asos и Shein, наименее — Joom и Lamoda. Среди iOS-приложений меньше всего уязвимостей у Bonprix, Wildberries, Asos и Bershka, больше всего — у H&M и Shein.
По оценкам Data Insight, за первые три квартала 2018 года онлайн-ритейлеры одежды и обуви в России получили за счет мобильных приложений 47% выручки. Защищенность их приложений становится все более серьезным вопросом, ведь ритейлеры оперируют платежными данными, компрометация и утечка которых способна нанести финансовый ущерб пользователям и репутационный бренду, отмечает руководитель направления Solar appScreener «Ростелеком-Solar» Даниил Чернов. Сами ритейлеры настаивают, что уделяют большое внимание вопросам информационной безопасности.