70% мобильных игр оказались небезопасны. Какие уязвимости нашли эксперты
. Они проанализировали около полусотни приложенийAppSec Solutions: 70% мобильных игр небезопасны
Эксперты из компании AppSec Solutions проанализировали около полусотни приложений для мобильных игр. Они нашли порядка 700 уязвимостей, 90 из которых «высокого» и «критического» уровня, сообщает издание CNews.
«Самые опасные из таких уязвимостей — хранение чувствительной информации в открытом виде. В частности, 12 содержали пароли и токены в исходном коде приложения, что облегчает хакерам взлом системы. Также в 13 приложениях не было проверки целостности, что позволяет достаточно легко модифицировать логику игры путем модификации сборки», — заявил руководитель отдела анализа защищенности AppSec.Sting компании AppSec Solutions Никита Пинаев.
Специалисты выделили три главные проблемы. Первая из них, когда критически важные механики, например расчет наград прогресса и внутриигровых ресурсов, реализованы на стороне клиента. В этом случае отсутствует полноценная серверная проверка. Такое решение может привести к подмене данных, повторному воспроизведению запросов и манипуляциям с игровой экономикой.
Второй проблемой эксперты назвали небезопасное хранение данных и слабую защищенность сетевого взаимодействия. Конфиденциальная информация в ряде игр хранилась без шифрования и контроля целостности. Кроме того, были обнаружены проблемы с сетевой защитой. В приложениях не было дополнительных проверок подлинности запросов и защиты от повторного воспроизведения. Эти уязвимости создают условия для утечек данных и автоматизации мошеннических сценариев.
Третьей проблемой оказалось отсутствие эффективной защиты от реверс-инжиниринга и модификации приложения. Это позволяет легко изучить бизнес-логику, извлечь конфиденциальные параметры, упрощает распространение модифицированных клиентов и ускоряет эксплуатацию иных уязвимостей.
Эксперты порекомендовали делать несколько вещей, чтобы защитить свои данные:
- устанавливать игры только из официальных магазинов;
- быть осторожнее с модами и «взломанными» версиями;
- следить за разрешениями;
- обновлять приложения и операционную систему;
- использовать уникальные пароли.
В Сеть слили данные 149 млн логинов и паролей
Специалист по кибербезопасности Иеремия Фаулер обнаружил в Сети базу данных, в которой содержались 149 млн логинов и паролей. Объем базы данных составлял 96 ГБ. Она не была защищена паролем.
Эксперт допустил, что база была создана для законных, исследовательских целей. Однако слабая защита заставляет его сомневаться в этом. В базе были данные для авторизации на Gmail, Facebook (входит в корпорацию Meta, признана экстремистской и запрещена в России), Instagram (входит в корпорацию Meta, признана экстремистской и запрещена в России), Yahoo, Netflix и Outlook.
