Мобильные приложения одежных ритейлеров оказались небезопасны

Большинство наиболее популярных в России мобильных приложений ритейлеров одежды содержат критические уязвимости, которые особенно распространены в версиях для iOS, следует из данных «Ростелеком-Solar». Часть из таких уязвимостей злоумышленники могут использовать, чтобы получить доступ к аккаунту пользователя или собрать информацию о его мобильном устройстве, пишет "Ъ".

Критические уязвимости содержит каждое из топ-10 популярных в России мобильных приложений для покупки одежды на iOS, говорится в исследовании «Ростелеком-Solar». Компания изучила приложения ритейлеров Mango, Asos, Shein, Bonprix, Wildberries, H&M, KupiVIP, Bershka, Joom и Lamoda в версиях для iOS и Android. iOS-версии оказались защищены значительно хуже, а частота обнаружения критических уязвимостей в их коде — на один-два порядка выше, следует из данных «Ростелеком-Solar».

Так, все десять iOS-приложений используют устаревшие хеш-функции, которые не обеспечивают достаточно стойкого шифрования. «Хотя эксплуатация этой уязвимости является непростой задачей, в случае успеха злоумышленник может получить доступ к аккаунту пользователя»,— говорится в отчете. Кроме того, каждое из приложений содержит уязвимости, позволяющие злоумышленнику получить избыточную информацию об устройстве пользователя и с помощью нее спланировать атаку.

За первые три квартала прошлого года онлайн-ритейлеры одежды и обуви в России получили за счет мобильных приложений 47 проц выручки

В целом, по данным компании, на Android наиболее защищены приложения Mango, Asos и Shein, а наименее — Joom и Lamoda. Среди iOS-приложений меньше всего уязвимостей содержат Bonprix, Wildberries, Asos и Bershka, а больше всего — H&M и Shein. Среди критических уязвимостей чаще всего встречались ошибки в шифровании, небезопасная реализация SSL и слабый алгоритм хеширования.

По оценкам Data Insight, за первые три квартала 2018 года онлайн-ритейлеры одежды и обуви в России получили за счет мобильных приложений 47 проц выручки. Защищенность их приложений становится все более серьезным вопросом, ведь ритейлеры оперируют платежными данными, компрометация и утечка которых способна нанести финансовый ущерб пользователям и репутационный бренду, отмечает руководитель направления Solar appScreener «Ростелеком-Solar» Даниил Чернов.

В пресс-службе Lamoda сообщили, что приложения компании регулярно проходят внутренний аудит специалистами по информационной безопасности, в том числе ручной анализ кода на уязвимости и автоматизированный контроль. Кроме того, компания готова выплачивать вознаграждения за сообщения о найденных уязвимостях. Wildberries также уделяет значительное внимание улучшению мобильных приложений, а случаев их взлома и утечки персональных данных клиентов не было, подчеркивает директор по ИТ компании Андрей Ревяшко.

Источник: "Коммерсант"

Фото: Asos