Критические уязвимости нашли в 84% российских мобильных приложений
Лидерами по числу выявленных проблем стали категории «Игры», «Стриминговые платформы», «Финансы», «СМИ», а также бизнес-приложения.
Об этом пишет «КоммерсантЪ» со ссылкой на исследование AppSec Solutions. Эксперты кибербеза по итогам прошлого года выявили 48,8 тысяч уязвимостей в популярных приложениях российских разработчиков, что на 63% больше, чем годом ранее.
В выборку попали свыше 1,2 тысяч популярных приложений на Android, тестируемых по методу черного ящика — без доступа к исходному коду.
В 84% приложений выявлены уязвимости, относящиеся к критическому или высокому уровню опасности. Максимум пришелся на игровые, финансовые, бизнес-приложения, а также стриминговые платформы и СМИ. В AppSec Solutions уточнили, в финсекторе за три года количество уязвимостей выросло в 10 раз (1921 случай).
Такой рост эксперты связывают с несколькими факторами, главным из которых называют ИИ. Руководитель группы защиты инфраструктурных ИT-решений компании «Газинформсервис» Сергей Полунин отметил:
С одной стороны, ИИ ускоряет разработку, с другой — кодовая база растет, и потенциальные ошибки накапливаются. ИИ хорошо справляется с написанием работающего кода, но именно безопасный код он умеет писать не всегда, потому что был обучен на примерах, которые сейчас представляют собой устаревшие или уязвимые практики разработки.
40-50% уязвимостей в коде, по данным ГК «Солар» пропускают популярные языковые модели.
Также на рост дефектов в финсекторе, считает Полунин, оказывает влияние усложнение функционала приложений с большим количеством стороннего кода и стремление «бизнеса выпускать новые «фичи» как можно быстрее, зачастую без должного тестирования и обкатки».
Руководитель продукта AppSec.Sting компании AppSec Solutions Никита Пинаев считает, рост числа уязвимостей 2026 году продолжится:
Все больше сторонних SDK и облачных интеграций, все больше ИИ-сгенерированного кода, тиражирующего небезопасные паттерны хранения чувствительных данных.
По мнению эксперта, изменить положение можно только системным, риск-ориентированным подходом с ротацией ключей, контролем сторонних компонентов и защитой среды исполнения. Пинаев считает, в выигрыше окажутся те компании, «которые встроят эти практики в процесс разработки и будут отличаться от рынка не количеством находок, а скоростью их устранения».
изображение мниап.рф, magnific
