Более 3000 конфиденциальных ключей, позволяющих хакерам проникать в систему компаний, обнаружили в российских мобильных приложениях

Платформа Стингрей проанализировала 1870 мобильных приложений для Android в популярных отечественных сторах. В результате были найдены тысячи конфиденциальных ключей, которые позволяют злоумышленникам получить доступ к управлению приложением. Завладев таким «секретом», хакеры могут получить управление над самим приложением и использовать его против его же владельцев. Например, разослать фишинговые ссылки пользователям.

Целью исследования было оценить масштаб хранения чувствительных данных в открытом доступе в российских мобильных приложениях. Анализ провели в течение 2024 года. В общей сложности был обнаружен 3181 секрет.

- Есть секреты, с помощью которых можно серьезно нарушить работу компаний. Это уже является проблемой. Секреты от сторонних сервисов хранятся в открытом виде и получить их злоумышленникам ничего не стоит. Используя их, к примеру, можно отправить PUSH-уведомления всем пользователям, допустим, рекламу сервиса-конкурента или потратить бюджет компании, если секрет дает возможность обращаться к платному сервису. Счет придет в конце месяца. Если есть ключ от базы данных, и она открыта на запись, любой человек может записать что-то в публичную базу компании, а это уже серьезный риск штрафов от РКН, которые стали существенно выше с декабря 2024, - рассказал владелец продукта Стингрей компании AppSec Solutions Юрий Шабалин.

Исследование российского вендора полностью подтверждает результаты опубликованного недавно исследования компании Cybernews мобильных приложений на базе iOS в США. Согласно ему, более 156 тысяч приложений в App Store от Apple содержат в своих исходных кодах свыше 815 тысяч секретных сведений, включая платёжные системы, API, а также ключи к облачному хранилищу. В частности, сотни конфиденциальных ключей могли быть использованы хакерами для компрометации личных данных пользователей. Стоит отметить, что на территории Российской Федерации мобильные приложения на платформе iOS имеют одну существенную особенность: из-за санкций вносить в них исправления при обнаружении уязвимостей сложнее, чем в случае с приложениями на Android.