Приложения российских банков кишат «дырами». Их тысячи, и это только начало
В российских финансовых приложениях с каждым годом становится все больше уязвимостей, в особенности критических – таких всего за два года их стало в 11 раз больше. Это прямая угроза персональным данным клиентов банков и других финансовых компаний, а это десятки миллионов россиян по всей стране.
Хакеры, добро пожаловать
В российских финансовых приложениях, в том числе и фирменных сервисах отечественных банков содержатся тысячи уязвимостей, и их число постоянно растет, сообщили CNews представители компании AppSec Solutions. Например, брешей критического и высокого уровня в таких утилитах в 2025 г. было найдено более 2000, тогда как всего двумя годами ранее, в 2023 г. их было лишь 183.
Другими словами, за два года количество таких «дыр» увеличилось в 11 раз. И надо сказать, что темпы этого роста ускоряются, потому что в 2024 г. было найдено 569 критических уязвимостей – в 3,1 раза больше на фоне 2023 г. и 3,5 раза меньше, нежели в 2025 г.
Анализ был проведен на основе 90 наиболее популярных в России приложений банковского сектора, микрозаймов и страхования. На вопросы CNews, об их названиях и о наличии в этом перечне приложений крупнейших российских банков (у каждого из них десятки миллионов клиентов) представители AppSec Solutions отвечать отказались.
Разработчики банковского ПО сами упрощают работу хакерам
По информации «Ведомостей», эти приложения доступны для свободного скачивания в магазинах Apple AppStore и Google Play, а также в российском RuStore, который работает с мая 2022 г.
Не все так плохо?
На фоне безудержного роста числа критических уязвимости в российских финансовых приложениях эксперты AppSec Solutions отмечают сокращение количества общего числа брешей. Так, в 2025 г. их оказалось 3555, а в 2023 г. – 4500.
Но положительная динамика прослеживается только в том случае, если не учитываются показатели 2024 г. за этот период специалисты AppSec Solutions выявили суммарно 1500 уязвимостей в российских приложениях из категории «финансы».
Таким образом, всего за год их число более чем удвоилось. И это при том факте, что во многих российских банках есть штатные специалисты по информационной безопасности, а некоторые из них обращаются за услугами еще и к сторонним ИБ-компаниям.
Работы очень много
Как отмечают аналитики AppSec Solutions, недостатки в защите приложений находятся самые разные. «Проблем множество. От небезопасного хранения чувствительных данных до небезопасной реализации схем по межпроцессному взаимодействию, которые могут приводить к открытию каких-нибудь фишинговых страниц в контексте приложения или аутентифицироваться под своим легитимным аккаунтом в тех схемах, где это не должно было происходить», – сказал CNews руководитель отдела анализа защищенности мобильных приложений AppSec.Sting компании AppSec Solutions Никита Пинаев.
Он добавил, что чаще всего в российских финансовых приложениях проблемы связаны с «хранением чувствительной информации в коде». По его словам, это «самая опасная уязвимость».
«Таких в финтех-приложениях обнаружили 1541, – подчеркнул Никита Пинаев. – Это одна из самых распространенных и критических уязвимостей мобильных приложений. Она возникает, когда разработчики оставляют «зашитыми» секретные данные прямо в коде программы. Злоумышленники могут с помощью декомпиляции вычислить конфиденциальные данные и «вскрыть» приложение».
Пользователи в большой опасности
Наличие тысяч проблем с кибербезопасностью в российских банковских приложениях само по себе создает большие риски для жителей России. Но хранение чувствительной информации прямо в коде таких приложений – настоящая бомба замедленного действия.
«Для пользователей это опасно тем, что, получив доступ к серверам компании-владельца, хакеры могут похитить личные данные или банковские реквизиты», – сообщили CNews представители AppSec Solutions. Однако, по их словам, эксплуатация одной уязвимости «не приведет к массовому взлому банковских приложений».
На вопрос редакции, какие еще сюрпризы могут скрываться в таком ПО, представители AppSec Solutions ответили: «На втором месте среди критических проблем в финтех-приложениях – использование небезопасных HTTP-запросов. Основные риски связаны с отсутствием шифрования, некорректной обработкой запросов и возможностью манипулирования данными. Злоумышленник может добавить в передаваемый пакет данных фрагменты вредоносного кода. Это может привести к заражению сервера или пользовательского устройства вирусом, выполнению нежелательных скриптов (например, в рамках XSS-атак), а также к другим негативным последствиям».
«Уязвимость HTTP позволяет вмешиваться в содержимое пакета данных. Злоумышленник может подменить настоящий IP-адрес запрашиваемого домена на поддельный. В результате браузер направит запрос на мошеннический ресурс, который может быть полным клоном настоящего сайта. Это используется для фишинга, кражи данных или распространения вредоносного ПО», – подытожили в AppSec Solutions.
Кто виноват
Частично рост числа «дыр» в 2025 г. по сравнению с 2024 г. связан с усовершенствованием инструментов диагностики, отмечают в AppSec Solutions. Но вину разработчиков банковского ПО исключать нельзя.
По мнению руководителя отдела защиты информации InfoWatch ARMA Романа Сафиуллина, программисты не удаляют должного внимания проверке кода перед тем, как выпустить финальную сборку. «Во-первых, разработчики активно прибегают к использованию шаблонных решений и интеграции должным образом не проверенных компонентов с открытым исходным кодом, – сказал он «Ведомостям». – Это приводит к возникновению унаследованных уязвимостей – ошибка в одной популярной библиотеке делает уязвимыми многие приложения, которые ее используют. – Во-вторых, в условиях ограничений в сроках разработки может страдать качество проверки собственного кода разработчика. Логические ошибки или отсутствие валидации вводимых данных попадают в финальный продукт».
