Перейти к основному контенту
Технологии и медиа ,  
0 

Аналитики назвали приложение «Макдоналдса» наиболее уязвимым

Приложения по заказу еды для платформы iOS менее защищены от взломов, чем их аналоги на Android, выяснили аналитики «Ростелекома». По их оценке, самым незащищенным на обеих платформах оказалось приложение «Макдоналдса»
Фото: Петр Ковалев / ТАСС
Фото: Петр Ковалев / ТАСС

Защищенный Android

Специалисты «Ростелеком-Solar», дочерней компании госоператора связи, специализирующейся на ИТ-безопасности, проанализировали 17 мобильных приложений для заказа еды на предмет уязвимостей: насколько сложно злоумышленнику взломать приложение и скомпрометировать данные пользователя. В выборку попали «Макдоналдс», Subway Russia, KFC, Burger King, «Тануки», «Доминос Пицца», «Папа Джонс», «Шоколадница», Pizza Hut, «Додо Пицца», «Суши Wok», «СушиВесла», «Почетный гость», Black Star Burger, Starbucks, «Якитория», «Чайхона № 1». Выбор сервисов для анализа основывался на количестве их скачиваний в Google Play и App Store.

Опасный Burger

Проанализировать безопасность мобильных приложений в «Ростелеком-Solar» решили после выявления уязвимостей у одной из сетей быстрого питания. Мобильное приложение Burger King может собирать данные пользователей с помощью записи видео с экранов смартфонов, сообщил в начале июля сайт Pikabu. Пользователь этого ресурса обратил внимание на то, что сервис Burger King записывал видео с экрана пользователя и отправлял запись на свой сервер. На это видео мог попасть и ввод данных банковской карточки при оплате заказа. После появления информации Роскомнадзор направил в Burger King официальный запрос. В ведомстве заявили, что, если эта информация подтвердится, Роскомнадзор дополнительно потребует от компании объяснить причины, по которым неопределенный круг лиц получил доступ к персональным данным. Данные клиентов никак не персонифицируются и не хранятся на сервере, отвечали на это в пресс-службе Burger King.

Средний уровень защищенности приложений в категории составил 2,2 балла из пяти возможных, выяснили специалисты «Ростелеком-Solar». Оказалось также, что сервисы для платформы Android защищены значительно лучше, чем их аналоги для iOS.

Первое место по уровню защищенности для Android поделили Black Star Burger, Pizza Hut и KFC, получив от экспертов по 4,1 балла. У этих приложений не было выявлено критических уязвимостей, поэтому, как указано в исследовании, они безопасны с точки зрения защиты пользовательских данных, а также устойчивы к хакерским атакам. Наименее защищенными оказались приложения Starbucks (2,4) и «Якитории» (2,1 балла). Самую низкую оценку — 1,4 балла — получил «Макдоналдс».

Половина iOS-версий не смогла набрать даже один балл, констатируют аналитики «Ростелеком-Solar». Они отмечают, что среди 16 нет ни одного приложения, в котором не встречались бы критические уязвимости. Превысить средний балл в категории (2,2) удалось только приложению «Тануки» — 2,9 балла. Максимально близко подошел к этой отметке Starbucks с 2,1 балла. Аутсайдером вновь оказался «Макдоналдс»: iOS-версия его приложения получила лишь 0,3 балла. По 0,4 балла набрали Pizza Hut и Black Star Burger, приложение которого был лидером на платформе Android.

Специалист «Ростелеком-Solar» Даниил Чернов объясняет разницу оценки одного и того же приложения для Android и iOS тем, что, несмотря на одинаковый функционал для пользователей, Android считается более уязвимой операционной системой, и потому разработчики уделяют больше внимания вопросам безопасности. Чернов не исключает, что именно с этим и связана большая защищенность приложений для Android.

В целом наиболее уязвимыми (с учетом обеих платформ) в «Ростелеком-Solar» признали приложения трех компаний — Starbucks, «Якитории» и «Макдоналдса». Их представители не ответили на запросы РБК.

Слабая шифровка

Слабым местом большинства приложений оказался небезопасный алгоритм хеширования (преобразование входящих данных в уникальную закодированную строку — хеш). Оно может использоваться, например, для подтверждения пароля, с помощью которого пользователь входит в свой аккаунт. При слабом алгоритме хеширования злоумышленник может без затруднений подобрать пароль и взломать приложение, указывают авторы исследования.

Около половины приложений хранят пароли пользователей в незашифрованном виде, отмечают в «Ростелеком-Solar». Это может означать как хранение в открытом виде, так и использование такого метода кодирования, который позволяет легко восстановить исходный пароль. Примером может служить стандарт кодирования base64, для декодирования которого существует масса бесплатных онлайн-инструментов, говорится в исследовании.

Слабый алгоритм шифрования — еще одна уязвимость, которая встречается почти во всех приложениях. Как поясняется в исследовании, шифрование используется для скрытия информации от неавторизованных пользователей. Многие приложения страдают от небезопасной реализации SSL (Secure Sockets Layer) — уровня защищенности интерфейса для обмена данными. Низкий уровень защиты позволяет злоумышленнику встать между сервером и приложением и контролировать все действия пользователя. Например, когда пользователь заходит в приложение по сети Wi-Fi, можно легко перехватить данные и видоизменить их. Таким образом, у злоумышленников может оказаться информация о банковской карте клиента, история его заказов, адреса доставки.

СберПро Медиа Госсектор

Меры поддержки бизнеса от государства за август

СберПро Медиа Торговля

Барометр отрасли: «Торговля & торговая недвижимость»

СберПро Медиа Интересное

Три цифровых сдвига: как трансформация меняет бизнес-модели компаний

СберПро Медиа АПК

Управляемая доходность. Агрохолдинги созрели для цифровой трансформации

СберПро Медиа Интересное

Дайджест актуальных трендов. Электрокары, открытый банкинг и осознанное потребление

СберПро Медиа Транспорт

Новые маршруты и диверсификация: куда идёт российская логистика

СберПро Медиа Интересное

От стратегии к тактике. Как избежать рисков во время цифровой трансформации

СберПро Медиа Недвижимость

Лёгкие на подъём. Какие возможности есть у российского рынка индустриальной недвижимости

СберПро Медиа Интересное

Три ошибки цифровой трансформации

СберПро Медиа Интересное

Стабильность изменений: как быть лидером в трансформирующемся мире

Авторы
Теги
Магазин исследований Аналитика по теме "Мобильные приложения"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.

  

Лента новостей
Курс евро на 23 сентября
EUR ЦБ: 102,25 (-0,11)
Инвестиции, 22 сен, 16:57
Курс доллара на 23 сентября
USD ЦБ: 96,04 (-0,03)
Инвестиции, 22 сен, 16:57
Ферстаппен выиграл девятую в сезоне квалификацию в «Формуле-1» Спорт, 11:09
Моравецкий потребовал от Зеленского больше не оскорблять поляков Политика, 10:56
Десять вариантов квартир с двумя санузлами для большой семьи РБК и ПИК, 10:55
Буданов предупредил, что танки Abrams «долго не проживут» в обычном бою Политика, 10:51
В Днепре и Херсоне сообщили о повреждениях критической инфраструктуры Политика, 10:31
Клубы НХЛ провели первый в истории матч в Австралии Спорт, 10:29
Рекордсмен UFC Чимаев сменил спортивное гражданство Спорт, 10:17
Знакомьтесь, «Технологии»
Новый раздел РБК Pro поможет подготовиться к любым вызовам цифрового будущего
Перейти
В Севастополе второй раз за утро объявили об угрозе ракетного удара Политика, 10:12
Что такое «15-минутный город» и для чего он жителям Москвы РБК и Ahead, 10:11
Дзюба против «Зенита» и старейшее дерби России. Интриги тура РПЛ Спорт, 10:00
Лавров передал Гутерришу видеообращение к ООН от луганской школьницы Политика, 09:57
В Севастополе предупредили об угрозе ракетного удара Политика, 09:43
Bloomberg узнал о предложении России к Бразилии после встречи с Зеленским Политика, 09:41
Как ИТ-бизнесу монетизировать рост интереса клиентов к облакам. Чек-лист РБК и Yandex Cloud, 09:31