IT ManagerБезопасностьУгрозы

Роскачество выявило уязвимости в мобильных приложениях по доставке продуктов

| 04.07.2019

Роскачество выявило уязвимости в мобильных приложениях по доставке продуктов

Центр цифровой экспертизы Роскачества протестировал 24 наиболее популярных мобильных приложения в российском сегменте магазинов Google Play и App Store, позволяющих заказывать продукты онлайн с доставкой на дом. Специалисты оценивали как приложения онлайн-супермаркетов, так и служб доставки, которые доставляют продукты из популярных магазинов.

Испытания проводились по многим критериям, в числе которых корректность поиска товаров, фильтрация, информативность карточек товаров, возможность создания шаблонов продуктовых наборов, доступность различных вариантов оплаты, удобство оформления заказа и других.

Поскольку все приложения для заказа продуктов имеют дело с платежными данными, особое внимание экспертов было уделено финансовой безопасности. С помощью различных специализированных сервисов и программ приложения проверялись на наличие возможных уязвимостей и вредоносных программ. Одна из таких программ – Wireshark, с помощью которой эксперты захватывали весь трафик, который пересылает исследуемое приложение, и анализировали его на наличие незашифрованных данных. По результатам тестирования было определено, что ни одно из исследованных приложений не содержит вредоносного ПО, а передача персональных и платежных данных каждой из программ производится в зашифрованном виде. Однако, был выявлен и ряд уязвимостей, среди которых – небезопасная реализация SSL, слабый алгоритм хеширования и шифрования – данные уязвимости обнаружены у 90% оценённых мобильных программ. Они повышают риски компрометации логинов и паролей пользователей, а также их персональных данных при использовании публичного Wi-Fi. Проверка на наличие уязвимостей проводилась при помощи анализатора Solar appScreener. Однако выявленные недостатки не говорят о том, что приложения небезопасны и их нельзя использовать. Если соблюдать определенные меры предосторожности – стараться избегать подключения к публичному Wi-Fi, установить на смартфон VPN-клиент, использовать сложные пароли – риски доступа злоумышленников к персональным данным можно существенно снизить.

Помимо зондирования (поиска уязвимостей) экспертами оценивалась избыточность запрашиваемых разрешений, безопасность передачи и хранения персональных и платежных данных, возможность удаления учетной записи, а также данных приложения, активное согласие на обработку и хранение данных и правовая документация (доступность и информативность политики конфиденциальности, сведения о соблюдении законов РФ).

По совокупности критериев самыми защищенными и безопасными признаны приложения «golama» (4,21 из 5 баллов), «Утконос» (4,20 из 5) и «О’КЕЙ» (4,15 из 5) для iOS и «Утконос» (4,46 из 5), «Азбука Вкуса» (4,31 из 5) и «О’КЕЙ» (4,29 из 5) для Android.

Полное исследование доступно по ссылке

Источник: Роскачество

кибербезопасность, Киберугрозы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Не успели мы отбиться от вызовов и задач, которые взвалила на нас принудительная удаленка, как уже растут новые вызовы. В частности, нас ждет будущее всеобщей цифровизации, и будущее это будет непременно светлым и радостным, но только если мы в него впишемся.
Как никогда важно задуматься о том, насколько безопасны компьютеры наших работников, которые становятся одним из основных векторов атак для злоумышленников.

Я первое время ходил на все встречи с диктофоном, что спасал о меня от ситуации, когда я полностью понял собеседника, идеально подстроился, обо всем договорился… но вот о чем договорился и вообще, что обсуждали –, не помню хоть убей.

Компании сообщают

Мероприятия

Конференция Data Fest
ОНЛАЙН
19.09.2020 — 20.09.2020
11:00
Форум промышленной роботизации
Санкт-Петербург, Чернорецкий пер. 4-6
23.09.2020 — 24.09.2020
Сбер Конф
ОНЛАЙН
24.09.2020
10:00
Импортозамещение BI
ОНЛАЙН
24.09.2020
10:00-12:00