Ростелеком-Solar

Компания Ростелеком-Solar ко Дню защиты детей провела исследование* уязвимостей популярных мобильных игровых приложений для детей. Анализ 14-ти игровых приложений показал, что обнаруженные в приложениях уязвимости могут привести к полной утрате конфиденциальности пользовательских данных, включая платежные данные.

Игровая индустрия ежегодно демонстрирует завидную стабильность роста. По данным отчета мирового лидера в области игровой аналитики Newzoo, в 2018 г. объём глобального рынка мобильных игровых приложений достиг 63,2 млрд долл., что на 12,8% больше, чем в 2017-м.

Большинство мобильных игр содержат платные опции, весьма востребованные у аудитории. Многие пользователи готовы платить за те или иные игровые преимущества, и в первую очередь — дети. Однако в случае, если приложение небезопасно, персональные и платежные данные игроков могут стать добычей киберпреступников.

Компания Ростелеком-Solar провела сравнительное исследование защищенности следующих популярных мобильных игровых приложений для детей: 3D Лабиринт, Angry Birds 2, Asterix and Friends, Cut the Rope, Disney Crossy Road, Dragons: Rise of Berk, LEGO® NINJAGO®: Ride Ninja, Minion Rush: «Гадкий Я», «Лунтик: Детские игры», «Маша и Медведь: Игры для Детей», «Ми-ми-мишки», «Смешарики. Крош», «Таинственные дела Скуби-Ду», «Три Кота Пикник». Для анализа были отобраны игровые приложения из категории «Семейные», согласно критерию популярности: количеству скачиваний в App Store и Google Play, а также позиции в рейтингах популярных мобильных игр для детей. Все приложения рассматривались в вариантах для мобильных операционных систем iOS и Android.

Более чем в 80% Android-приложений, содержащих критические уязвимости, ключ шифрования задан в исходном коде, что открывает злоумышленникам доступ к содержащимся в приложении данным. А более половины Android-приложений, содержащих критические уязвимости, могут привести к полной утрате конфиденциальности пользовательских данных.

Самыми защищенными Android-версиями мобильных игровых приложений для детей являются: «Три Кота Пикник» (DevGame OU), «Маша и Медведь: Игры для Детей» (Hippo Games for Kids) и «Таинственные дела Скуби-Ду» (Warner Bros). Их общий уровень защищенности равен 4.6, 4.6 и 4.1 балла соответственно из 5-ти возможных. Наиболее уязвимым приложением признана игра Disney Crossy Road (Disney) — 0.9 балла из 5.0.

Исследованные игры на базе iOS отличаются значительно более низкой степенью защищенности по сравнению с Android-аналогами. Лишь одному приложению — LEGO® NINJAGO®: Ride Ninja (LEGO System A/S) — удалось продемонстрировать уровень защищенности в 2.6 балла из 5-ти, что является показателем чуть выше среднего по отрасли. Защищенность остальных 13-ти приложений вызывает серьезные опасения экспертов. Наименее защищенными играми под iOS признаны «Три Кота Пикник» (DevGame OU) и «Маша и Медведь: Игры для Детей» (Indigo Kids) — их общий уровень защищенности, согласно методике оценки Solar appScreener, равен 0.0 балла.

Все исследованные игровые приложения на базе iOS подвержены критической уязвимости «слабый алгоритм хеширования», потенциально ведущей к компрометации пользовательских данных. Кроме того, все iOS-приложения содержат уязвимости, которыми злоумышленник может воспользоваться для выполнения вредоносного кода на смартфоне или осуществления атаки на приложение.

* Анализ безопасности кода осуществлялся автоматически с помощью Solar appScreener — российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме