В финансовых приложениях, используемых в России, количество уязвимостей ежегодно возрастает, особенно критических — за последние два года их число увеличилось в 11 раз. Это представляет серьезную опасность для конфиденциальных данных клиентов банков и других финансовых организаций, а речь идет о десятках миллионов граждан по всей стране.
В российских финансовых приложениях, включая фирменные сервисы отечественных банков, содержится множество уязвимостей, и их количество постоянно увеличивается, сообщили CNews представители компании AppSec Solutions. Например, в 2025 году было обнаружено более 2000 брешей критического и высокого уровня в таких программах, тогда как всего два года назад, в 2023 году, их насчитывалось лишь 183.
Иными словами, за двухлетний период количество подобных «дыр» возросло в 11 раз. Стоит отметить, что темпы этого роста ускоряются: в 2024 году было выявлено 569 критических уязвимостей — в 3,1 раза больше по сравнению с 2023 годом и в 3,5 раза меньше, чем в 2025 году.
Анализ проводился на основе 90 самых популярных в России приложений из банковского сектора, сферы микрозаймов и страхования. На вопросы CNews о названиях этих приложений и о том, входят ли в этот список сервисы крупнейших российских банков (каждый из которых обслуживает десятки миллионов клиентов), представители AppSec Solutions отвечать отказались.
Согласно данным «Ведомостей», эти приложения доступны для бесплатного скачивания в магазинах Apple AppStore и Google Play, а также в российском RuStore, который функционирует с мая 2022 года.
На фоне стремительного роста числа критических уязвимостей в российских финансовых приложениях эксперты AppSec Solutions отмечают снижение общего количества брешей. Так, в 2025 году их было 3555, а в 2023 году — 4500.
Однако положительная динамика заметна только в том случае, если не учитывать показатели 2024 года: за этот период специалисты AppSec Solutions обнаружили в общей сложности 1500 уязвимостей в российских приложениях категории «финансы».
Таким образом, всего за год их число увеличилось более чем вдвое. И это несмотря на то, что во многих российских банках есть штатные специалисты по информационной безопасности, а некоторые из них дополнительно привлекают сторонние ИБ-компании.
Специалисты AppSec Solutions отмечают, что уязвимости в приложениях встречаются самые разнообразные. «Спектр проблем широк. От ненадежного хранения конфиденциальных данных до некорректной реализации механизмов межпроцессного взаимодействия, что может привести к открытию фишинговых страниц в контексте приложения или несанкционированной аутентификации под легитимной учетной записью в сценариях, где это не предусмотрено», – прокомментировал CNews Никита Пинаев, руководитель отдела анализа защищенности мобильных приложений AppSec.Sting компании AppSec Solutions.
Он также отметил, что в российских финансовых приложениях наиболее часто встречаются проблемы, связанные с «размещением конфиденциальной информации в коде». По его мнению, это «наиболее опасная уязвимость».
«В финтех-приложениях было выявлено 1541 подобных случаев, – подчеркнул Никита Пинаев. – Это одна из самых распространенных и опасных уязвимостей мобильных приложений. Она появляется, когда разработчики оставляют секретные данные «вшитыми» непосредственно в код программы. Злоумышленники могут с помощью декомпиляции извлечь эти конфиденциальные сведения и «взломать» приложение».
Наличие тысяч киберугроз в российских банковских приложениях само по себе создает серьезные риски для граждан. Однако хранение чувствительной информации прямо в коде таких программ — это настоящая бомба замедленного действия.
«Для пользователей это чревато тем, что, получив доступ к серверам компании-владельца, хакеры могут украсть личные данные или банковские реквизиты», – сообщили CNews представители AppSec Solutions. Вместе с тем, по их словам, использование одной уязвимости «не приведет к массовому взлому банковских приложений».
Отвечая на вопрос редакции о других возможных угрозах в таком ПО, представители AppSec Solutions заявили: «Второе место среди критических проблем в финтех-приложениях занимает использование небезопасных HTTP-запросов. Основные риски связаны с отсутствием шифрования, некорректной обработкой запросов и возможностью манипуляции данными. Злоумышленник может внедрить в передаваемый пакет данных фрагменты вредоносного кода. Это способно привести к заражению сервера или устройства пользователя вирусом, выполнению нежелательных скриптов (например, в рамках XSS-атак), а также к другим негативным последствиям».
«Уязвимость HTTP позволяет вмешиваться в содержимое пакета данных. Злоумышленник может подменить реальный IP-адрес запрашиваемого домена на поддельный. В результате браузер направит запрос на мошеннический ресурс, который может быть точной копией настоящего сайта. Это применяется для фишинга, кражи данных или распространения вредоносного ПО», – резюмировали в AppSec Solutions.
Частично увеличение числа «дыр» в 2025 году по сравнению с 2024 годом связано с улучшением инструментов диагностики, отмечают в AppSec Solutions. Однако полностью исключать вину разработчиков банковского ПО нельзя.
Как считает руководитель отдела защиты информации InfoWatch ARMA Роман Сафиуллин, программисты уделяют недостаточно внимания проверке кода перед выпуском финальной версии. «Во-первых, разработчики часто используют типовые решения и подключают недостаточно проверенные компоненты с открытым исходным кодом, – пояснил он «Ведомостям». – Это ведет к появлению унаследованных уязвимостей: ошибка в одной популярной библиотеке делает многие приложения, которые её применяют, уязвимыми. – Во-вторых, из-за жестких сроков разработки может снижаться качество проверки собственного кода. Логические ошибки или отсутствие проверки вводимых данных попадают в готовый продукт».
