AppSec Solutions: эксперты нашли сотни уязвимостей в 70% мобильных игр

Компания AppSec Solutions осуществила детальный анализ безопасности мобильных игр, выявив критические уязвимости в их программном обеспечении. В ходе исследования было проанализировано около 50 приложений, что позволило идентифицировать более 700 уязвимостей, что составляет 70% от общего количества проанализированных игр. Каждая седьмая из выявленных уязвимостей представляла собой серьёзную угрозу для безопасности пользователей и разработчиков. Результаты этого исследования были опубликованы экспертами CNews, что подчёркивает его значимость в контексте обеспечения информационной безопасности.

Среди ключевых проблем, которые были выявлены в ходе анализа, следует выделить следующие:

1. В 12 приложениях пароли и ключи доступа к данным были интегрированы в исходный код, что делало их доступными для несанкционированного доступа со стороны злоумышленников.

2. В 13 играх отсутствовали механизмы защиты от модификации, что предоставляло возможность для изменения логики игры, что могло привести к нарушению её функциональности и экономической модели.

Эксперты классифицировали выявленные уязвимости на три основные категории:

1. Недостаточная защита логики на стороне клиента: многие ключевые операции, такие как начисление наград, были реализованы непосредственно на устройствах пользователей, что создавало условия для несанкционированного вмешательства и, как следствие, нарушения экономической модели игр.

2. Несоответствующая защита данных: персональные данные игроков зачастую сохранялись на устройствах пользователей без шифрования, а обмен данными с сервером осуществлялся с недостаточной степенью защиты, что повышало риски их утечки.

3. Слабая защита исходного кода: исходный код многих игр оставался доступным для внешнего анализа, что существенно упрощало процесс выявления уязвимостей и создания модифицированных версий, которые могли использоваться злоумышленниками.

Эти уязвимости представляют серьёзные риски не только для пользователей, включая возможность несанкционированного доступа к их аккаунтам и персональным данным, но и для разработчиков, которые могут столкнуться с финансовыми потерями и ухудшением своей репутации.

Для минимизации рисков, пользователи могут предпринять следующие меры:

1. Осуществлять загрузку игр исключительно из официальных цифровых магазинов, таких как App Store и Google Play, что гарантирует наличие базовой степени защиты.

2. Воздерживаться от использования модификаций, читов и взломанных версий игр, которые могут содержать дополнительные уязвимости.

3. Ограничивать предоставляемые права доступа, запрашиваемые играми, отказывая в предоставлении данных, которые могут быть использованы для несанкционированного доступа, таких как контактная информация или доступ к микрофону.

4. Регулярно обновлять программное обеспечение, включая игровые приложения и операционную систему, что позволяет устранять выявленные уязвимости.

5. Использовать уникальные пароли для учётных записей в играх, что снижает риск компрометации нескольких аккаунтов одновременно.