Исследование: 90% криптовалютных приложений испытывают проблемы с безопасностью

Специализирующаяся на кибербезопасности фирма High-Tech Bridge проанализировала популярные криптовалютные приложения в разделе «Финансы» Google Play. Результаты исследования компании из Сан-Франциско оказались неутешительными: в подавляющем большинстве программ обнаружились критические уязвимости, говорится в отчете.

Так, из первых 30 приложений, имеющих менее 100 тысяч скачиваний, 93% содержат как минимум три уязвимости «средней тяжести» и 90% — две и более «проблемы высокой степени опасности». У 30 самых популярных (более 500 тысяч установок) программ дела обстоят лучше, но ненамного: в 94% были найдены как минимум три «средних» недочета, в 77% — два и более «серьезных».

По данным исследования, в число самых распространенных уязвимостей входят «небезопасное хранение данных» и «недостаточная криптографическая стойкость».

«В зависимости от функционала приложения, конструкции и уязвимостей существует множество различных проблем, из-за которых конфиденциальные данные и даже приватные ключи могут оказаться в опасности. К сожалению, результаты исследования меня не удивили», — отметил исполнительный директор и основатель High-Tech Bridge Илья Колоченко.

По его словам, разработчики мобильных приложений уделяют недостаточно внимания вопросам безопасности.

«На протяжении многих лет компании и независимые эксперты в сфере кибербезопасности предупреждали программистов о рисках «гибкой» разработки, которая обычно не включает в себя инфраструктуру для обеспечения должного уровня безопасности и тестирования приложений», — добавил Колоченко.

Например, проверить мобильные приложения на уязвимости можно с помощью бесплатного инструмента Mobile X-Ray от High-Tech Bridge. Впрочем, если дело касается защиты финансов, то процесс становится заметно сложнее. В самой фирме отметили, что нынешнее исследование было недостаточно глубоким: эксперты тестировали в основном пользовательский интерфейс, в то время как уязвимости могут таиться и в программно-аппаратной части.

«Это всего лишь вершина айсберга», — говорится в отчете.

Напомним, совсем недавно представители Tether заявили о краже более $30 млн в USDT, причем атаковавшие компанию хакеры могли быть связаны и со взломом Bitstamp в 2015 году.