По оценкам компаний по кибербезопасности, число атак на инфраструктуру российских мобильных приложений увеличилось на 200 %, пишет «Коммерсантъ». Как предупреждают эксперты, под угрозой взлома находится до 90 % приложений.

Источник изображения: Pixabay

О том, что в первой половине 2022 года число атак на API (Application Programming Interface) мобильных приложений в России увеличилось на 200 % по сравнению с аналогичным периодом прошлого года, «Коммерсанту» сообщили в «Информзащите». В свою очередь, в «РТК-Солар» утверждают, что количество атак на приложения во втором квартале (после начала событий на Украине) увеличилось по сравнению с предыдущими тремя месяцами в четыре–пять раз. Речь идёт о краже данных, создании поддельных аккаунтов, мошенничестве с кредитными картами и т. д. Примерно в 50 % случаев взлом ведёт к приостановке обслуживания, в 10 % хакеры получают доступ к учётным записям.

По мнению эксперта центра мониторинга и противодействия компьютерным атакам IZ:SOC «Информзащиты» Шамиля Чича, число атак выросло в первую очередь в связи с тем, что из-за санкций ряд приложений российских компаний удалили с маркетплейсов Google Play и App Store. Теперь их можно скачать только в виде APK-файлов с сайта компании или банка, который может быть заражен вирусом, говорит эксперт.

Он отметил, что большинство компаний создают веб-версии и мобильные приложения на одном интерфейсе, что также несёт угрозу безопасности. Его слова подтвердил директор по кибербезопасности компании-разработчика red_mad_robot Дмитрий Морев, сообщивший, что примерно половину рынка занимают разработки, где используется схема с одним бэкендом (программно-аппаратная часть сервиса, отвечающая за функционирование его внутренней части).

Директор центра Solar appScreener компании «РТК-Солар» Даниил Чернов назвал атаку на приложение самым простым способом проникнуть в периметр организации и получить доступ к инфраструктуре. Он охарактеризовал мобильный софт как наиболее уязвимое звено в безопасности организаций после человеческого фактора. Чернов рассказал, что программный код на 80–90% состоит из готовых компонентов, многие из которых содержат бэкдоры. По его словам, под угрозой находится порядка 90 % российских приложений, и тренд на атаки приложений будет усиливаться.

Ресурс «Коммерсантъ» сообщил о планах Центробанка вменить в обязанность банкам регистрировать новых клиентов в приложениях с идентификацией через единую биометрическую систему (ЕБС).

Согласно опубликованному на сайте Центробанка проекту указания «О критерии для мобильных приложений банков с универсальной лицензией…», нарушителям приказа грозит запрет выдавать в приложениях кредиты и открывать клиентам вклады.

В пояснительной записке к документу указано, что замечания к нему принимаются до 28 июля, и что он вступит в силу спустя 10 дней после опубликования.

В настоящее время, как сообщили участники рынка, через мобильные приложения оформляются основная часть вкладов и заметная доля кредитов. Регистрация производится с помощью банковской карты. По их мнению, эта идея актуальна для новых клиентов, хотя банкам всё же придётся добавить в мобильные приложения идентификацию по ЕБС, чтобы сохранить возможность проводить через них основные операции с физлицами. На это кредитным учреждениям понадобится 10–15 млн руб., говорит исполнительный директор «Национальной платежной ассоциации» Мария Михайлова. Но главная проблема заключается в том, что люди неохотно сдают биометрию, и новыми сервисами это не исправить.

По данным Банка России, в ЕБС зарегистрировано всего 236,4 тыс. пользователей, в то время как в собственных биометрических базах банков их насчитывается миллионы.

Согласно недавно принятому закону, банки могут передавать в ЕБС свои биометрические базы данных без согласия клиентов. Но это проблему не решает, так как банки при сборе данных предъявляли требования на порядок ниже, чем указаны в ЕБС. А этого недостаточно для выдачи таких высокорисковых операций, как кредиты и операции с депозитами.

Руководитель «Национального платёжного совета» Алма Обаева считает, что предложенный Центробанком способ пополнения ЕБС «выглядит немного насильственным». Она предположила, что «государству очень надо, чтобы граждане сдали свои биометрические данные».