Компания AppSec Solutions осуществила детальный анализ безопасности мобильных игр, выявив критические уязвимости в их программном обеспечении. В ходе исследования было проанализировано около 50 приложений, что позволило идентифицировать более 700 уязвимостей, что составляет 70% от общего количества проанализированных игр. Каждая седьмая из выявленных уязвимостей представляла собой серьёзную угрозу для безопасности пользователей и разработчиков. Результаты этого исследования были опубликованы экспертами CNews, что подчёркивает его значимость в контексте обеспечения информационной безопасности.
Среди ключевых проблем, которые были выявлены в ходе анализа, следует выделить следующие:
В 12 приложениях пароли и ключи доступа к данным были интегрированы в исходный код, что делало их доступными для несанкционированного доступа со стороны злоумышленников.
В 13 играх отсутствовали механизмы защиты от модификации, что предоставляло возможность для изменения логики игры, что могло привести к нарушению её функциональности и экономической модели.
Эксперты классифицировали выявленные уязвимости на три основные категории:
Недостаточная защита логики на стороне клиента: многие ключевые операции, такие как начисление наград, были реализованы непосредственно на устройствах пользователей, что создавало условия для несанкционированного вмешательства и, как следствие, нарушения экономической модели игр.
Несоответствующая защита данных: персональные данные игроков зачастую сохранялись на устройствах пользователей без шифрования, а обмен данными с сервером осуществлялся с недостаточной степенью защиты, что повышало риски их утечки.
Слабая защита исходного кода: исходный код многих игр оставался доступным для внешнего анализа, что существенно упрощало процесс выявления уязвимостей и создания модифицированных версий, которые могли использоваться злоумышленниками.
Эти уязвимости представляют серьёзные риски не только для пользователей, включая возможность несанкционированного доступа к их аккаунтам и персональным данным, но и для разработчиков, которые могут столкнуться с финансовыми потерями и ухудшением своей репутации.
Для минимизации рисков, пользователи могут предпринять следующие меры:
Осуществлять загрузку игр исключительно из официальных цифровых магазинов, таких как App Store и Google Play, что гарантирует наличие базовой степени защиты.
Воздерживаться от использования модификаций, читов и взломанных версий игр, которые могут содержать дополнительные уязвимости.
Ограничивать предоставляемые права доступа, запрашиваемые играми, отказывая в предоставлении данных, которые могут быть использованы для несанкционированного доступа, таких как контактная информация или доступ к микрофону.
Регулярно обновлять программное обеспечение, включая игровые приложения и операционную систему, что позволяет устранять выявленные уязвимости.
Использовать уникальные пароли для учётных записей в играх, что снижает риск компрометации нескольких аккаунтов одновременно.