Опасное импортозамещение
Переход на российское мобильное ПО грозит пользователям и компаниям проблемами с кибербезопасностью. Как пишет «Коммерсант» со ссылкой на ИБ-компанию AppSec Solutions, 84% российских мобильных приложений таят в себе критические уязвимости.
Притом качество российского мобильного софта в плане безопасности, очевидно, резко падает. Если в 2024 г. в нем было выявлено 29,9 тыс. «дыр», то в 2025 г. их стало 48,8, то есть на 63% больше.
В числе тех, кого могут затронуть проблемы с ИБ, есть и дети. Согласно отчету AppSec Solutions, лидерами по числу уязвимостей, в том числе критических, оказались программы из категории «Игры».
Также «дыр» много в софте из категорий «Стриминговые платформы», «Финансы», «Приложения для бизнеса» и «СМИ». По всей видимости, хуже всего обстоят дела с финансовым ПО – за три года количество уязвимостей в них выросло на порядок, то есть почти в 10 раз.
По оценке экспертов AppSec Solutions, столь плохие показатели банковского ПО – следствие интеграции различны сторонних сервисов, в которых могут быть собственные уязвимости. Но также стоит отметить, что были усовершенствованы методы поиска «дыр» – раньше часть найденных проблем не обнаруживались.
Кому персональные данные?
Как отмечено в отчете AppSec Solutions, чаще всего разработчики мобильного ПО грешат небезопасным хранением персональных данных своих пользователей. Это наиболее регулярно встречающаяся критическая уязвимость.
Помимо этого, российских разработчиков мобильных приложений уличили в небезопасном хранении токенов и различных ключей доступа. Это определенно не прибавляет их софту очков безопасности.
Свою лепту в падение надежности российского ПО вносит и нарастающая популярность искусственного интеллекта. CNews писал, что частое использование нейросетей совершенно не делает российских программистов умнее, и даже наоборот. Вполне вероятно, что резкое падение уровня безопасности отечественных мобильных приложений – одно из следствий.
«С одной стороны, ИИ ускоряет разработку, с другой – кодовая база растет и потенциальные ошибки накапливаются. ИИ хорошо справляется с написанием работающего кода, но именно безопасный код он умеет писать не всегда, потому что был обучен на примерах, которые сейчас представляют собой устаревшие или уязвимые практики разработки», – сказал «Коммерсанту» руководитель группы защиты инфраструктурных ИT-решений компании «Газинформсервис» Сергей Полунин.
Доверяй, не проверяй
Согласно статистике ИБ-компании ГК «Солар», даже самые популярные в мире языковые модели, используемые в программировании. Запросто могут пропустить 50% уязвимостей в коде – они их не увидят. Но это лишь часть общей беды.
Другая ее часть – это дефицит опытных AppSeс-специалистов, отмечает издание, а это усугубляет проблему.
Зачем все усложнять
Еще одна причина появления новых уязвимостей в российском мобильном ПО, особенно в банковском – это то, что такой софт с каждым разом становится все сложнее. Сергей Полунин сделал акцент на том, что финансовое ПО со временем прирастает новыми функциями, а за каждой из них скрыты десятки строк кода, часто стороннего.
Помимо этого, нередки случаи использования разработчиками библиотек и компонентов, взятых на стороне, то есть разработанных не ими, а полученных в виде готового решения. И часто такие компоненты используются для платежей, биометрии и пр.
Руководство компаний, владеющих финансовыми приложениями, тоже косвенно виновато в том, что «дыр» в них становится больше, считает Полунин. По его словам, оно требует от разработчиков выпускать новые функции как можно быстрее, и часто нововведения даже не проходит тестирование и обкатку прежде, чем попасть в новый релиз.
Света в конце тоннеля нет
Согласно прогнозу AppSec Solutions, в 2026 г. ситуация с безопасностью российского мобильного ПО и количеством «дыр» в нем не только не улучшится, но и станет еще хуже. Когда начнется положительная динамика, в компании не уточнили.
«Все больше сторонних SDK и облачных интеграций, все больше ИИ-сгенерированного кода, тиражирующего небезопасные паттерны хранения чувствительных данных», – сказал «Коммерсанту» руководитель продукта AppSec.Sting компании AppSec Solutions Никита Пинаев.
Поделиться
