Приложения образовательных сервисов оказались самыми уязвимыми

Образовательные приложения оказались в лидерах по числу критических уязвимостей среди всех мобильных приложений в российских сторах в 2024 г. В них было обнаружено 683 опасных уязвимости, через которые злоумышленники могут украсть персональные данные или направить пользователям фишинговые ссылки, подсчитали эксперты. В анализ попало около 100 образовательных приложений. Речь идет о мобильных приложениях для изучения иностранных языков, подготовки к экзаменам, решебниках по школьным предметам и играх для развития финансовой грамотности и т. д., уточнил представитель компании.

Некоторые приложения позволяют хранить чувствительные данные, включая пароли или персональные данные пользователей в публичном файле, до которого без труда могут добраться злоумышленники, отметил он. В категории «Образование» было зафиксировано более 200 случаев такого хранения данных за прошлый год, тогда как в 2023 г. их было выявлено 135.

Есть вероятность, что это связано с недостаточностью финансирования и меньшим бюджетом на специалистов по информационной безопасности (ИБ) или внешние аудиты. Другая возможная причина — значительный рост спроса на EdTech-приложения за последние несколько лет. По словам экспертов, разработчики стараются быстро расширять функционал, добавлять интеграции со сторонними сервисами, не успевая уделить должного внимания безопасной разработке или оценке релизов с точки зрения ИБ.

По словам руководителя ИБ-направления «Телеком биржи» Александра Блезнекова, большое количество уязвимостей в образовательных приложениях может объясняться тем, что бюджеты на разработку здесь могут быть значительно меньше, чем в других IT-сегментах, т. е. квалификация специалистов будет по умолчанию ниже. На сегодняшний день онлайн-образование является одним из наиболее низкомаржинальных бизнесов в России, потому в большинстве своем у игроков этой отрасли весьма ограниченные бюджеты как на IT, включая оплату труда высококвалифицированных разработчиков, так и на ИБ, подтверждает директор по продуктам Servicepipe Михаил Хлебунов. «И потому уязвимости в коде приложений этих игроков были, есть и будут, поскольку большая часть приложений пишется не самыми квалифицированными разработчиками с использованием ChatGPT и маловероятно, что это изменится», — утверждает эксперт.

В общей сложности экспертами было исследовано почти 2000 наиболее скачиваемых мобильных приложений в магазинах App Store, RuStore и Google Play, в которых было найдено 32 490 уязвимостей против 41 493 в 2023 г. Общее число уязвимостей прямо пропорционально опасности для пользователей.

«В целом хранение чувствительной информации в том или ином доступном для потенциальных хакеров виде — это, пожалуй, наиболее серьезная проблема, с последствиями которой приходится иметь дело ИБ-инженерам компаний», — говорит Шабалин. По его словам, последствия могут быть самыми печальными: рассылка злоумышленниками фишинговых ссылок от имени приложения, компрометация персональных данных пользователей, слив рекламных бюджетов компании и многое другое.

Кроме того, проблема в недостатке осознания рисков начальством, которое часто считает, что кибератаки касаются только крупных корпораций, отмечает Блезнеков. Хотя хакерам, наоборот, легче атаковать слабозащищенные мелкие и средние компании, например из сферы образования, потому что их компрометация в разы легче и быстрее, заключил он.

Источник: https://www.vedomosti.ru/technology/articles/2025/04/22/1105815-prilozheniya-obrazovatelnih-servisov-okazalis-samimi-uyazvimimi