Кибербезопасность мобильных приложений: растущие угрозы и способы защиты

Эксперты по кибербезопасности из компании AppSec Solutions опубликовали тревожные данные о состоянии безопасности мобильных приложений, разработанных в России. В 2025 году было выявлено рекордное количество уязвимостей — 48,8 тысяч, что на 63% больше показателей предыдущего года (29,9 тысяч).

Для проведения анализа было тщательно отобрано более 1,2 тысячи приложений для платформы Android. Эксперты использовали метод «чёрного ящика», то есть тестировали приложения без доступа к их исходному коду. Результаты оказались удручающими: в 84% протестированных программ обнаружены критические или серьёзные уязвимости, при этом количество критических угроз превысило отметку в 19 тысяч.

Исследование выявило несколько категорий приложений, которые особенно подвержены киберугрозам:

• Игровые приложения — из-за сложной логики и часто недостаточного внимания к безопасности
• Стриминговые сервисы — обрабатывают большие объемы пользовательских данных
• Финансовые и бизнес-программы — хранят конфиденциальную финансовую информацию
• Приложения СМИ — содержат уязвимости в системах контент-дистрибуции

Особенно тревожная ситуация наблюдается в финансовом секторе. За последние три года количество критических уязвимостей в банковских приложениях выросло почти в десять раз, достигнув 1921 случая в 2025 году. Среди основных проблем — небезопасное хранение токенов, ключей и данных пользователей: такие уязвимости найдены в 75% финансовых приложений.

Одной из самых актуальных новых угроз стал код, созданный искусственным интеллектом. По данным ГК «Солар», современные языковые модели ИИ пропускают от 40% до 50% уязвимостей в коде. Это связано с тем, что ИИ часто генерирует код, который функционально корректен, но небезопасен с точки зрения кибербезопасности.

Примеры уязвимостей в ИИ-коде:

• SQL-инъекции — ИИ может создавать запросы, уязвимые для внедрения вредоносного кода
• XSS-атаки — ИИ может не полностью очищать пользовательский ввод перед отображением
• Небезопасная десериализация — ИИ может генерировать код, который уязвим для атак через десериализацию

Наряду с новыми технологическими угрозами, на рост уязвимостей влияет несколько ключевых факторов:

Усложнение приложений

Современные приложения, особенно в финансовом секторе, содержат множество сторонних библиотек и компонентов. Это увеличивает поверхность атаки и создает дополнительные точки возможных уязвимостей.

Сжатые сроки разработки

Рынок диктует необходимость быстрого выхода новых функций на рынок, что оставляет мало времени на тщательное тестирование безопасности. Разработчики часто жертвуют безопасностью ради сроков.

Дефицит квалифицированных специалистов

На рынке наблюдается нехватка специалистов по кибербезопасности с опытом работы именно с мобильными приложениями. Это приводит к тому, что многие компании не могут обеспечить должный уровень безопасности.

Усовершенствование методов анализа

Часть увеличения числа уязвимостей объясняется не только реальным ростом угроз, но и совершенствованием методов анализа. То, что ранее не выявлялось, теперь фиксируется в отчетах благодаря более продвинутым инструментам.

Эксперты прогнозируют, что в 2026 году количество уязвимостей продолжит расти по следующим причинам:

• Увеличение использования сторонних SDK (Software Development Kits)
• Распространение облачных интеграций
• Широкое внедрение ИИ-кода в разработку
• Рост сложности приложений

Для изменения ситуации эксперты предлагают перейти от разовых проверок безопасности к системному контролю на всех этапах разработки. Вот конкретные рекомендации:

1. Внедрение DevSecOps

Интеграция безопасности в процесс разработки (DevSecOps) позволяет выявлять уязвимости на ранних стадиях, что значительно снижает затраты на их устранение.

2. Регулярное обновление зависимостей

Необходимо регулярно обновлять все сторонние библиотеки и компоненты, чтобы использовать последние исправления безопасности.

3. Обеспечение безопасного хранения данных

Все чувствительные данные (токены, ключи, пользовательские данные) должны шифроваться и храниться в защищенных хранилищах операционной системы.

4. Проведение пентестов

Регулярное проведение тестов на проникновение (пентестов) позволяет выявить уязвимости, которые могли быть пропущены автоматическими сканерами.

5. Обучение разработчиков

Компании должны инвестировать в обучение своих разработчиков основам кибербезопасности, чтобы они писали более безопасный код с самого начала.

6. Использование статического анализа кода

Инструменты статического анализа кода (SAST) должны использоваться на всех этапах разработки для выявления уязвимостей в реальном времени.

Рост количества уязвимостей в мобильных приложениях — это серьезный вызов для разработчиков и компаний. Однако, путем внедрения системного подхода к безопасности и следования лучшим практикам, можно значительно повысить уровень защиты пользовательских данных и снизить риски кибератак.

В условиях растущих технологических угроз инвестирование в безопасность становится не просто рекомендацией, а необходимостью для любого бизнеса, работающего с мобильными приложениями.