За останні кілька років популярність криптовалюти суттєво зросла, на сьогоднішній день існує більш ніж 1,3 тис. видів електронної валюти. Вартість однієї з найбільш популярних і дорогих - Bitcoin - нещодавно подолала позначку $10 тис. Різні стартапи, незалежні експерти і навіть банки пропонують широкий спектр мобільних додатків для криптовалют. Число програм для зберігання, обробки та продажу криптовалют в одному лише Google Play Store вже перевищує 2 тис. і продовжує зростати. За допомогою інструменту Mobile X-Ray фахівці компанії High-Tech Bridge проаналізували найбільш популярні криптогаманці в Google Play в категорії «Фінанси» і з'ясували, що понад 90% з них схильні до вразливостей того чи іншого. іншого роду.

Експерти вивчили як додатки з числом установок до 100 тис., так і ті, кількість інсталяцій яких перевищує 500 тис. Як виявилося, 93% програм з числом установок до 100 тис. містять щонайменше 3 вразливості середнього рівня небезпеки, 90% додатків з цієї категорії було виявлено щонайменше 2 небезпечні проблеми. Також з'ясувалося, що 87% гаманців уразливі до атак «людина посередині», що дозволяє перехоплення інформації, 66% додатків містять вшиті конфіденційні дані (у тому числі паролі та ключі API), 57% додатків використовують функціонал, що наражає на ризик конфіденційність користувача, відправляють дані в незашифрованому вигляді по HTTP, 30% застосовують ненадійне або неефективне шифрування, 77% додатків використовують SSLv3 або TLS 1.0, бекенди (API або web-сервіси) 44% додатків виявилися вразливими до атаки Poodle. 100% програм не мають захисту проти реверс-інжинірингу. Найпоширенішими вразливістю (з рейтингу OWASP Top 10) у цій категорії додатків стали неналежне використання платформи, неефективне шифрування та незахищене сховище даних.

Що стосується додатків із числом установок до 500 тис., тут ситуація дещо краща. Зокрема, порівняно з попередньою категорією лише 66% та 87% додатків містили щонайменше 3 вразливості середнього рівня небезпеки та 2 серйозні вразливості відповідно. До атак «людина посередині» виявилися вразливими 34% програм, вшиті паролі та ключі API містили 34% додатків, а в 17% гаманців використовуваний функціонал наражав на небезпеку конфіденційність користувача. 37% і 24% додатків відправляли дані в незашифрованому вигляді або використовували ненадійне шифрування відповідно, 70% використовували SSLv3 або TLS 1.0, а 14% додатків містили вразливість Poodle. У 100% вивчених додатків був відсутній захист від реверс-інжинірингу.

У разі додатків з числом установок, що перевищує 500 тис., результати виявилися такими: 94% додатків містили щонайменше 3 середньонебезпечні вразливості; 77% виявилися схильні щонайменше 2 небезпечним вразливим; 17% були вразливі до атак «людина посередині»; 44% додатків містили вшиті паролі та ключі API; функціонал, що наражає на небезпеку конфіденційність був виявлений у 66% додатків; 66% програм надсилали дані у незашифрованому вигляді; у 50% додатків було реалізовано ненадійне шифрування; 90% програм використовували SSLv3 і TLS 1.0 і, нарешті, захист від реверс-інжинірингу був відсутній у 100% додатків. Як і в попередніх двох випадках, найбільш поширеними виявилися такі вразливості: неналежне використання платформи, неефективне шифрування та незахищене сховище даних.

За допомогою безкоштовного інструменту Mobile X-Ray користувачі можуть самостійно перевірити безпеку своїх мобільних додатків.