Компанія High-Tech Bridge представила безкоштовний онлайн-сервіс Mobile X-Ray для перевірки безпеки та конфіденційності мобільних додатків. Сервіс оперативно визначає широкий спектр поширених помилок і вразливостей, у тому числі включених в рейтинг OWASP Mobile Top Ten, а також надає звіт про виявлені проблеми з рекомендаціями по їх усуненню.

На початку жовтня нинішнього року експерти виявили сумнівну функцію в мобільному додатку Uber, яка непомітно робила знімки екранів смартфонів користувачів. Раніше бюро кредитних історій Equifax було змушене видалити свій мобільний додаток з інтернет-каталогів у зв'язку з ризиком витоку даних. З допомогою сервісу Mobile X-Ray будь-який користувач може виявити подібні проблеми у додатках.

Згідно зі статистичними даними, отриманими з допомогою платформи для тестування додатків ImmuniWeb, 88% API і web-сервісів, що використовуються в мобільних додатках, схильні вразливостей, що дозволяє отримати доступ до важливих або конфіденційних даних. При цьому 69% API і web-сервісів не володіють адекватними механізмами захисту від поширених web-атак.

Відзначається, що 97% додатків для Android містять щонайменше одну уразливість з рейтингу OWASP Mobile Top Ten, понад 78% програм схильні принаймні однієї уразливості з високим ступенем небезпеки і двом із середнім рівнем ризику. При цьому 69% додатків відсутня шифрування або реалізовані ненадійні алгоритми шифрування. За даними компанії, кожне друге Android-додаток містить вшиті ключі шифрування, облікові дані або іншу важливу інформацію. Нарешті, менше 5% додатків використовують антивідладочні механізми для запобігання реверс-інжинірингу.

У випадку з iOS-додатками ситуація не менш критична. Як з'ясувалося, хоча б одну уразливість з Топ-10 OWASP містять 85% додатків. Понад 69% програм містять одну небезпечну вразливість і дві середнього ступеня небезпеки. У понад 50% проаналізованих програм відсутня шифрування або використовується ненадійне шифрування при оправці або отримання важливих даних. Так само, як і у випадку з Android-додатками, кожна друга програма для iOS містить вшиті ключі шифрування, облікові дані або іншу інформацію. Антивідладочні механізми використовують менше 9% додатків.