IT ManagerБезопасностьУгрозы

Роскачество выявило уязвимости в мобильных приложениях по доставке продуктов

| 04.07.2019

Роскачество выявило уязвимости в мобильных приложениях по доставке продуктов

Центр цифровой экспертизы Роскачества протестировал 24 наиболее популярных мобильных приложения в российском сегменте магазинов Google Play и App Store, позволяющих заказывать продукты онлайн с доставкой на дом. Специалисты оценивали как приложения онлайн-супермаркетов, так и служб доставки, которые доставляют продукты из популярных магазинов.

Испытания проводились по многим критериям, в числе которых корректность поиска товаров, фильтрация, информативность карточек товаров, возможность создания шаблонов продуктовых наборов, доступность различных вариантов оплаты, удобство оформления заказа и других.

Поскольку все приложения для заказа продуктов имеют дело с платежными данными, особое внимание экспертов было уделено финансовой безопасности. С помощью различных специализированных сервисов и программ приложения проверялись на наличие возможных уязвимостей и вредоносных программ. Одна из таких программ – Wireshark, с помощью которой эксперты захватывали весь трафик, который пересылает исследуемое приложение, и анализировали его на наличие незашифрованных данных. По результатам тестирования было определено, что ни одно из исследованных приложений не содержит вредоносного ПО, а передача персональных и платежных данных каждой из программ производится в зашифрованном виде. Однако, был выявлен и ряд уязвимостей, среди которых – небезопасная реализация SSL, слабый алгоритм хеширования и шифрования – данные уязвимости обнаружены у 90% оценённых мобильных программ. Они повышают риски компрометации логинов и паролей пользователей, а также их персональных данных при использовании публичного Wi-Fi. Проверка на наличие уязвимостей проводилась при помощи анализатора Solar appScreener. Однако выявленные недостатки не говорят о том, что приложения небезопасны и их нельзя использовать. Если соблюдать определенные меры предосторожности – стараться избегать подключения к публичному Wi-Fi, установить на смартфон VPN-клиент, использовать сложные пароли – риски доступа злоумышленников к персональным данным можно существенно снизить.

Помимо зондирования (поиска уязвимостей) экспертами оценивалась избыточность запрашиваемых разрешений, безопасность передачи и хранения персональных и платежных данных, возможность удаления учетной записи, а также данных приложения, активное согласие на обработку и хранение данных и правовая документация (доступность и информативность политики конфиденциальности, сведения о соблюдении законов РФ).

По совокупности критериев самыми защищенными и безопасными признаны приложения «golama» (4,21 из 5 баллов), «Утконос» (4,20 из 5) и «О’КЕЙ» (4,15 из 5) для iOS и «Утконос» (4,46 из 5), «Азбука Вкуса» (4,31 из 5) и «О’КЕЙ» (4,29 из 5) для Android.

Полное исследование доступно по ссылке

Источник: Роскачество

кибербезопасность, Киберугрозы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Вопросы приходят не только от подростков, но и от взрослых, которые стесняются спросить о чем-то детей и внуков, или сталкиваются с проблемами общения с цифровым поколением.
Олег Седов :: 24.05.2020
Обычная жизнь? – скажете вы. А она теперь какая будет? И возвращаясь к тому, что в будущей обычной жизни будет не совсем так как было раньше

Zoom – великий уравниватель. Просто кольт в мире информации. «Бог создал людей сильными и слабыми. Сэмюэл Кольт сделал их равными».

Компании сообщают

Мероприятия

27.05.2020
ЦИФРОВЫЕ МЕДИА И СЕРВИСЫ 202Х

онлайн, 12:00-15.30 (мск)

15.06.2020 — 18.06.2020
Онлайн-конференция по .NET-разработке DotNext 2020 Piter

Санкт-Петербург, Online

23.06.2020 — 24.06.2020
Цифровое предприятие

Москва, Онлайн