В приложениях онлайн-аптек выявлены критические уязвимости безопасности данных

Роскачество совместно с группой компаний Солар провели исследование и выявили серьёзные уязвимости в мобильных приложениях онлайн-аптек, которые могут поставить под угрозу данные миллионов пользователей. Это сигнал для отрасли цифрового здравоохранения и IT-безопасности.

Коротко

• Проанализировано около 70 мобильных приложений (iOS и Android) с рейтингом выше 4★ и более 500 тыс. загрузок.
• Приложения онлайн-аптек охватывают аудиторию свыше 26,5 млн пользователей.
• 93 % приложений содержали критическую уязвимость — нестандартная реализация SSL, позволяющая MITM-атаку.
• Обнаружены пять типов уязвимостей: DNS-перенаправление, небезопасная рефлексия, слабое хеширование паролей, передача данных по HTTP и другие.
• Рекомендация исследователей — внедрять безопасный цикл разработки (Secure SDLC) с опорой на ГОСТ и международные стандарты.

Что случилось

Роскачество и компания Солар провели масштабный аудит мобильных приложений сервисов, включая онлайн-аптеки, доставку еды и маркетплейсы. В рамках анализа были отобраны приложения с рейтингом выше 4 звёзд и более 500 тыс. установок на платформах iOS и Android. Среди них — приложения онлайн-аптек, охватывающие свыше 26,5 млн пользователей.

В 93 % приложений онлайн-аптек выявлена критическая уязвимость: собственная реализация SSL-шифрования позволяет нарушать подлинность сертификатов и открывает возможность для перехвата или подмены данных. Кроме того, обнаружены уязвимости DNS-редиректа, небезопасной рефлексии кода, слабых алгоритмов хеширования и незащищённой передачи данных.

Почему это важно

Цифровые сервисы здравоохранения и онлайн-аптеки обрабатывают конфиденциальную информацию — личные данные, историю лекарств и платежную информацию. Уязвимости ставят под угрозу приватность и безопасность миллионов пользователей.

Надёжность мобильных приложений напрямую влияет на доверие пациентов к онлайн-форматам обслуживания и дальнейшему развитию рынка цифрового здравоохранения. Системные дефекты на этапе разработки указывают на необходимость пересмотра стандартов безопасности в отрасли.

Что меняется на практике для мира

• Пользователи онлайн-аптек должны быть внимательнее к обновлениям приложений и использовать защищённые сети.
• Разработчики медицинских и аптечных приложений обязаны внедрять безопасный цикл разработки (Secure SDLC) и следовать стандартам OWASP и ГОСТ.
• Регуляторы и профильные ассоциации могут усилить требования к безопасности приложений в сфере здравоохранения.
• Поставщикам онлайн-сервисов следует провести аудит и устранить обнаруженные уязвимости.
• Международное сообщество получает сигнал об усилении стандартов цифровой безопасности.

Что дальше

Разработчикам предстоит обновить приложения, устранить пять основных типов уязвимостей и пройти независимую проверку безопасности. Регуляторы могут подготовить новые рекомендации для онлайн-аптек и медицинских сервисов. Следующий этап исследований — анализ приложений с меньшими объёмами установок и повышение прозрачности аудита безопасности.

FAQ

Q1: Насколько серьёзна уязвимость с неправильной реализацией SSL?
A1: Она критическая — позволяет злоумышленникам в незащищённых сетях перехватывать токены, пароли и другие пользовательские данные.

Q2: Что означает Secure SDLC и зачем он нужен?
A2: Secure SDLC — безопасный цикл разработки ПО, включающий тестирование, контроль кода и защиту данных с ранних этапов проекта.

Q3: Какие стандарты должны соблюдать разработчики приложений?
A3: Международные руководства OWASP и российские ГОСТ-требования по информационной безопасности.

Q4: Что могут сделать пользователи для защиты данных?
A4: Регулярно обновлять приложения, не использовать публичные Wi-Fi-сети, выбирать проверенные сервисы и менять пароли.