Мы вам не безопасники
Разработчики приложений для образования наводнили свой софт уязвимостями, тем самым поставив безопасность своих пользователей под угрозу. Число «дыр» в таком ПО растет год от года, а одна из причин тому – приоритеты, которые расставили авторы таких приложений.
Как пишут «Ведомости», по итогам 2025 г. «дыр» в приложениях для образования стало на 41% больше, нежели годом ранее. Разработчики ставят перед собой цель как можно быстрее выпустить на рынок новый софт или обновление к ранее вышедшему, а проверки безопасности лишь отдаляют сроки релиза.
Уязвимостей стало больше в целом спектре приложений, так или иначе связанных с образовательным процессом. Это и электронные дневники, и софт для репетиторов, и различные самоучители, и многое другое.
Притом для разработчиков, судя по всему, нет разницы, в каких версиях своего ПО оставлять уязвимости, которыми в будущем могут воспользоваться киберпреступники. «Ведомости», ссылаясь на ИБ-компанию AppSec Solutions, пишут, что такой софт наводнил все самые основные магазины приложений – Apple App Store для iPhone и iPad, Google Play для устройств на Android и даже RuStore – российский аналог Google Play.
Прямая и явная угроза
Очень часто разработчики образовательного ПО, не желающие тратить силы и время на выискивание уязвимостей в своем софте, оставляют в нем крайне неприятные сюрпризы. Так, почти половина (43%) от всех найденных в 2025 г. уязвимостей, а это 1065 шт., относилась к высокому и даже критическому уровням. Это означает, что правильная их эксплуатация хакерами сулит пользователям большие проблемы.
В AppSec Solutions рассказали изданию, что по итогам 2025 г. общее число уязвимостей в образовательном ПО достигло 2500, и это только те, что были выявлены. Годом ранее таковых было 1773.
Притом ситуация явно ухудшается. Но даже если не обращать внимание на рост числа «дыр», невозможно не акцентироваться на том, что их «качество» заметно выросло. Количество уязвимостей высокого и критического уровней в 2025 г. подскочило на 56% год к году, составив 1065 шт. против 683 шт. в 2024 г.
Персональные данные на блюде
Чаще всего разработчики образовательного ПО «грешат» тем, что оставляют киберпреступникам едва ли не прямой доступ к пользовательским данным. Вся чувствительная информация, будь то пароли, ключи шифрования и пр., хранится прямо в коде приложения. Здесь же можно найти токены авторизации и параметры тестовой среды, что может дать хакерам возможность атаковать не только пользователей сервиса, но и сам сервис.
Так кто же виноват
Опрошенные «Ведомостями» эксперты видят несколько глобальных причин роста числа уязвимостей в образовательном ПО. На то, что разработчики ставят во главу угла скорость релиза софта и обновлений, указал руководитель департамента аудита и консалтинга ИБ-компании F6 Евгений Янов. По его словам, из-за подобной спешки разработчики часто могли использовать старые версии библиотек, в которых тоже были бреши.
Янов указал еще на одну потенциальную причину. Он отметил, что рост числа критических уязвимостей в образовательном ПО – это вероятное следствие ограниченного финансирования. По его мнению, EdTech-приложения приносят ощутимо меньше денег в сравнении с ПО из более популярных категорий, и в результате разработчики вынуждены резать бюджет на кибербезопасность.
Как сообщил изданию генеральный директор группы компаний ST IT Антон Аверьянов, для образовательного сегмента давно стало «традицией» уделять меньше внимания информационной безопасностью по сравнению с банками и телеком-компаниями. Он увязал это с тем, что в образовательном ПО долгое время никто не видел легитимной цели для киберпреступников. В нынешних реалиях хакеры очень активно ломают такие приложения с целью поживиться персональными данными родителей и их детей, а также преподавателей, добавил Аверьянов.
Свою роль могло сыграть постепенное усложнение внутренней архитектуры образовательного ПО, считает аналитик Positive Technologies Анна Вяткина. Она полагает, что это следствие растущего количества интеграций такого софта со сторонними системами – платежными и ВКС, облаками, аналитическими и пр. Она также согласна с тезисом, что разработчики ставят скорость разработки и релиза в приоритет, а о безопасности пользователей думают далеко не в первую очередь.
Отдельно Анна Вяткина подчеркнула, что «на растущее количество уязвимостей также влияют распространенные ИИ-инструменты генерации кода, которые склонны приводить к появлению типовых ошибок безопасности», пишут «Ведомости».
Поделиться
