AppSec Solutions проанализировали около полусотни популярных приложений для мобильных игр с помощью инструмента AppSec.Sting и обнаружили порядка 700 уязвимостей. 90 из них – уровня «высокий» и «критический». Об этом CNews сообщили представители AppSec Solutions.
«Самые опасные из таких уязвимостей – хранение чувствительной информации в открытом виде, в частности, 12 содержали пароли и токены в исходном коде приложения, что облегчает хакерам взлом системы. Также в 13 приложениях не было проверки целостности, что позволяет достаточно легко модифицировать логику игры путем модификации сборки», – сказал руководитель отдела анализа защищенности AppSec.Sting компании AppSec Solutions Никита Пинаев.
Эксперт перечислил основные проблемы безопасности, обнаруженные в мобильных играх.
Первая проблема – избыточное доверие к клиентской логике.
В значительной части проанализированных приложений критически важные механики, включая расчет наград, прогресса и внутриигровых ресурсов, реализованы на стороне клиента без полноценной серверной валидации. Наличие подобных дефектов позволяет осуществлять модификацию данных в памяти, подмену локального состояния и повторное воспроизведение сетевых запросов. Эксплуатация данных уязвимостей приводит к нарушению игровой экономики, снижению честности игрового процесса и негативно сказывается на удержании пользователей и монетизации.
Вторая проблема – небезопасное хранение данных и недостаточная защищенность сетевого взаимодействия.
В ряде игр чувствительные данные хранились локально без применения механизмов шифрования и контроля целостности. Дополнительно были выявлены недостатки в защите сетевого канала, включая отсутствие дополнительных проверок подлинности запросов и защит от повторного воспроизведения. Данные уязвимости создают предпосылки для подмены информации, несанкционированного доступа к пользовательским данным и автоматизации мошеннических сценариев.
Третья проблема – отсутствие эффективной защиты от реверс-инжиниринга и модификации приложения.
Многие приложения поставлялись без обфускации кода, проверок целостности и базовых механизмов противодействия анализу и модификации. Это существенно упрощает изучение бизнес-логики, извлечение конфиденциальных параметров и распространение модифицированных клиентов, а также ускоряет эксплуатацию иных уязвимостей.
Эти и другие проблемы свидетельствуют о недостаточном внимании к вопросам безопасности при разработке мобильных игр. На практике такие дефекты трансформируются в значимые бизнес-риски, включая финансовые потери, рост мошенничества и репутационные издержки.
Как могут защитить свои персональные данные пользователи приложений
Устанавливайте игры только из официальных источников. Загрузка приложений из сторонних магазинов и неофициальных сайтов значительно повышает риск установки модифицированных или вредоносных версий игр.
Осторожно относитесь к модам, читам и «взломанным» версиям. Использование подобных решений часто приводит не только к блокировке аккаунта, но и к утечке личных данных или заражению устройства.
Ограничивайте разрешения приложений. Предоставляйте игре только те разрешения, которые необходимы для ее работы, и периодически пересматривайте их в настройках устройства.
Обновляйте игры и операционную систему. Обновления нередко содержат исправления уязвимостей и повышают общий уровень безопасности приложения.
Не используйте одинаковые пароли и учетные данные. Для игровых аккаунтов рекомендуется использовать уникальные пароли и, при возможности, включать дополнительные механизмы защиты.
Поделиться
