3555 дверей для хакеров: рекорд года в финансовых приложениях

Эксперты подвели итоги аудита 90 банковских, страховых и микрофинансовых сервисов, представленных в App Store, Google Play и RuStore. За последний год в этих приложениях было зафиксировано 3555 «дыр» в системе защиты, причем 2006 из них отнесены к категории высокого или критического уровня риска. Имена конкретных сервисов в отчете не разглашаются, но подчеркивается тревожная динамика: хотя в 2023-м общее число уязвимостей достигало 4500, серьезных среди них насчитывалось лишь 183, а в 2024-м их было 569. Финансовый сектор уверенно удерживает анти-лидерство по количеству опасных ошибок.

Самая распространенная проблема — хранение конфиденциальных сведений прямо внутри программного кода. Исследователи насчитали 1541 такой случай, когда пароли, ключи или данные клиентов можно извлечь с помощью декомпиляции. Получив доступ к инфраструктуре сервиса, злоумышленники способны не только украсть персональные данные и реквизиты, но и полностью имитировать поведение легального пользователя для проведения операций от его имени. Это прямо указывает на то, что подход «безопасность с первого этапа проектирования» пока так и не стал стандартом даже в банках.

Проблема носит глобальный характер: в Thales сообщили о 40 тысячах инцидентов, связанных с атаками через API, причем на финансовые сервисы пришлось 27% от всех атак за первую половину 2025 года. Эксперты, впрочем, уточняют: резкий рост выявленных уязвимостей не всегда означает лавинообразное появление новых ошибок. Просто инструменты поиска слабых мест стали мощнее и точнее, а диагностика — глубже. Современные сканеры находят даже потенциальные риски, которые раньше ускользали от внимания.

Главная причина происходящего — недостаточный контроль исходного кода перед выпуском финальной сборки. Ситуацию усугубляют шаблонные решения, непроверенные библиотеки с открытым кодом и задержки с их обновлением: достаточно одной ошибки в популярном компоненте, чтобы под угрозой оказались сотни приложений. Дополнительный фактор — сжатые сроки разработки, из-за которых в релиз проскакивают логические просчеты, проблемы с валидацией ввода и прочие недоработки.

Рост числа уязвимостей — это одновременно и тревожный сигнал, и следствие прогресса в методах их обнаружения. Пока банки гонятся за скоростью выхода обновлений, базовая гигиена кода остается в зоне риска. Единственное, что могут сделать пользователи уже сейчас — регулярно обновлять приложения, так как в новых версиях разработчики часто закрывают уже найденные «дыры». Но окончательное решение проблемы лежит не на стороне клиентов, а внутри индустрии разработки.