По данным РБК, специалисты «Ростелеком-Solar», дочерней компании госоператора связи, специализирующейся на ИТ-безопасности, проанализировали 17 мобильных приложений для заказа еды на предмет уязвимостей: насколько сложно злоумышленнику взломать приложение и скомпрометировать данные пользователя. В выборку попали «Макдоналдс», Subway Russia, KFC, Burger King, «Тануки», «Доминос Пицца», «Папа Джонс», «Шоколадница», Pizza Hut, «Додо Пицца», «Суши Wok», «СушиВесла», «Почетный гость», Black Star Burger, Starbucks, «Якитория», «Чайхона № 1». Выбор сервисов для анализа основывался на количестве их скачиваний в Google Play и App Store.
Средний уровень защищенности приложений в категории составил 2,2 балла из пяти возможных. Оказалось также, что сервисы для платформы Android защищены значительно лучше, чем их аналоги для iOS.
Первое место по уровню защищенности для Android поделили Black Star Burger, Pizza Hut и KFC, получив от экспертов по 4,1 балла. У этих приложений не было выявлено критических уязвимостей, поэтому, как указано в исследовании, они безопасны с точки зрения защиты пользовательских данных, а также устойчивы к хакерским атакам. Наименее защищенными оказались приложения Starbucks (2,4) и «Якитории» (2,1 балла). Самую низкую оценку — 1,4 балла — получил «Макдоналдс».
Половина iOS-версий не смогла набрать даже один балл, констатируют аналитики «Ростелеком-Solar». Они отмечают, что среди 16 нет ни одного приложения, в котором не встречались бы критические уязвимости. Превысить средний балл в категории (2,2) удалось только приложению «Тануки» — 2,9 балла. Максимально близко подошел к этой отметке Starbucks с 2,1 балла. Аутсайдером вновь оказался «Макдоналдс»: iOS-версия его приложения получила лишь 0,3 балла. По 0,4 балла набрали Pizza Hut и Black Star Burger, приложение которого был лидером на платформе Android.
В целом наиболее уязвимыми (с учетом обеих платформ) в «Ростелеком-Solar» признали приложения трех компаний — Starbucks, «Якитории» и «Макдоналдса».
Слабым местом большинства приложений оказался небезопасный алгоритм хеширования — около половины приложений хранят пароли пользователей в незашифрованном виде. Это может означать как хранение в открытом виде, так и использование такого метода кодирования, который позволяет легко восстановить исходный пароль. Примером может служить стандарт кодирования base64, для декодирования которого существует масса бесплатных онлайн-инструментов, говорится в исследовании.
Слабый алгоритм шифрования — еще одна уязвимость, которая встречается почти во всех приложениях. Как поясняется в исследовании, шифрование используется для скрытия информации от неавторизованных пользователей. Многие приложения страдают от небезопасной реализации SSL (Secure Sockets Layer). Низкий уровень защиты позволяет злоумышленнику встать между сервером и приложением и контролировать все действия пользователя. Например, когда пользователь заходит в приложение по сети Wi-Fi, можно легко перехватить данные и видоизменить их. Таким образом, у злоумышленников может оказаться информация о банковской карте клиента, история его заказов, адреса доставки.