Рубрикатор |
Все новости | Новости отрасли |
Приложения для заказа еды могут угрожать безопасности
26 июля 2018 |
Сервисы для заказа еды становятся все более популярными. Рынок доставки еды из ресторанов стремительно перетекает из оффлайна в онлайн. По прогнозам экспертов, рост онлайн-компоненты этого рынка составит не менее 20% в год. Однако приложения для заказа еды демонстрируют невысокий уровень безопасности.
Компания Ростелеком-Solar провела первое в России исследование защищенности мобильных приложений для заказа еды.Анализ безопасности кода выполнялся автоматически с помощью Solar inCode. Решение использует методы статического, динамического и интерактивного анализа и работает без доступа к исходному коду. По итогам анализа программа формирует отчет, где приводится список обнаруженных уязвимостей и дается общая оценка защищенности приложения.
Для участия в исследовании были выбраны популярные мобильные приложения для заказа еды – «Макдоналдс», Subway Russia, KFC, Burger King, «Тануки», «Доминос Пицца», «Папа Джонс», «Шоколадница», Pizza Hut, «Додо Пицца», Суши Wok, «СушиВёсла», «Почетный Гость», Black Star Burger, Starbucks, «Якитория», «Чайхона №1». Большинство приложений рассматривались в вариантах для мобильных операционных систем iOS и Android. Исключение составили Subway Russia (только версия для Android) и «Чайхона №1» (только версия для iOS).
При подготовке исследования декомпиляция и деобфускация приложений не производилась. Статический анализ осуществлялся в отношении бинарного кода.
Практически все Android-приложения содержат те или иные ошибки в реализации шифрования и передачи данных – небезопасный алгоритм дополнения, «пустой метод», когда проверяются не все поля сертификата и т.д. Более чем в половине проверенных приложений есть недекларированная возможность. Наконец, очень часто встречается незащищенное хранение паролей.
Явного лидера по уровню защищенности среди Android-приложений выделить не удалось – первое место поделили Black Star Burger, Pizza Hut и KFC, с минимальным отрывом к ним примкнуло «СушиВёсла». Количество уязвимостей среднего уровня у них примерно такое же, как и у конкурентов, но за счет отсутствия известных критических уязвимостей перечисленные приложения достаточно безопасны с точки зрения защиты пользовательских данных, а также устойчивы к хакерским атакам.
«Доминос Пицца» также не содержит известных критических уязвимостей, но высокое число вхождений уязвимостей среднего уровня не позволило ему бороться за более высокое место в рейтинге безопасных приложений. Неплохой результат показали приложения «Шоколадница» и «Додо Пицца». «Папа Джонс», «Почетный Гость», Суши Wok, «Тануки», Burger King, Subway Russia и Starbucks находятся примерно одном уровне защищенности и демонстрируют результат выше среднего по отрасли.
Приложения «Якитория» и «Макдоналдс» содержат в исходном коде более 5 вхождений критических уязвимостей, поэтому их уровень защищенности нельзя назвать удовлетворительным.
Приложения под iOS демонстрируют низкий уровень защищенности – в основном за счет высокого числа вхождений уязвимостей среднего уровня. Также нет ни одного приложения, в котором не встречалось бы критических уязвимостей.
Практически все приложения под iOS имеют слабый алгоритм хеширования, около трети – слабый алгоритм шифрования. В большинстве исследуемых приложений обнаружились такие потенциальные уязвимости, как использование метода openURL, использование NSLog и использование буфера обмена.
Превысить средний балл по отрасли удалось только «Тануки». Максимально близко подошел к этой отметке Starbucks. Количество критических и среднего уровня уязвимостей в остальных приложениях не позволяет назвать их уровень защищенности удовлетворительным.
Источник: Solar Security
Читайте также:
В России появилась платформа для запуска Android-приложений в ОС «Аврора»
Злоумышленники выманивают доступ к онлайн-банкингу с помощью поддельных приложений
МТС запустила первый в России сервис для удалённого тестирования Sunkey Toolkit
Приложение «МойОфис Документы» появилось в Galaxy Store
Как россияне оценивают качество сотовой связи и мобильного интернета
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.