С каждым годом количество уязвимостей в образовательных приложениях неуклонно возрастает. В 2025 году их число увеличилось почти в полтора раза по сравнению с 2024 годом. Разработчики поставили безопасность пользователей на второе место, отдавая приоритет скорости выпуска программ и обновлений. От этого страдают как владельцы iPhone, так и пользователи Android-смартфонов.
Авторы образовательных приложений наполнили свой софт уязвимостями, тем самым подвергая риску безопасность своих клиентов. Количество «брешей» в таком программном обеспечении ежегодно растет, и одна из причин этого — приоритеты, установленные создателями этих приложений.
Согласно информации «Ведомостей», по итогам 2025 года число «дыр» в образовательных приложениях выросло на 41% по сравнению с предыдущим годом. Разработчики стремятся как можно быстрее выпустить на рынок новый софт или обновление к уже существующему, а проверки безопасности лишь затягивают сроки релиза.
Уязвимости стали более распространенными во всем спектре приложений, так или иначе связанных с образовательным процессом. Это включает электронные дневники, программы для репетиторов, различные самоучители и многое другое.
При этом разработчики, по всей видимости, не делают различий между версиями своего ПО, оставляя уязвимости, которыми в будущем могут воспользоваться киберпреступники. «Ведомости», ссылаясь на ИБ-компанию AppSec Solutions, сообщают, что такой софт заполонил все основные магазины приложений — Apple App Store для iPhone и iPad, Google Play для устройств на Android и даже RuStore, российский аналог Google Play.
Часто разработчики образовательного ПО, не желающие тратить ресурсы на поиск уязвимостей в своем софте, оставляют в нем крайне неприятные сюрпризы. Например, почти половина (43%) всех найденных в 2025 году уязвимостей, а это 1065 штук, относилась к высокому или даже критическому уровню. Это означает, что их правильная эксплуатация хакерами может привести к серьезным проблемам для пользователей.
В AppSec Solutions рассказали изданию, что по итогам 2025 года общее количество уязвимостей в образовательном ПО достигло 2500, и это только те, что были обнаружены. Годом ранее их было 1773.
Ситуация явно ухудшается. Но даже если не учитывать рост числа «дыр», нельзя не заметить, что их «качество» значительно повысилось. Количество уязвимостей высокого и критического уровней в 2025 году подскочило на 56% по сравнению с предыдущим годом, составив 1065 штук против 683 штук в 2024 году.
Чаще всего разработчики образовательного ПО «грешат» тем, что оставляют киберпреступникам практически прямой доступ к пользовательским данным. Вся чувствительная информация, включая пароли, ключи шифрования и прочее, хранится прямо в коде приложения. Там же можно найти токены авторизации и параметры тестовой среды, что может позволить хакерам атаковать не только пользователей сервиса, но и сам сервис.
Специалисты, опрошенные «Ведомостями», выделяют несколько ключевых факторов, объясняющих увеличение количества уязвимостей в образовательном программном обеспечении. Руководитель департамента аудита и консалтинга ИБ-компании F6 Евгений Янов отметил, что разработчики часто ставят скорость выпуска софта и обновлений на первое место. Из-за такой поспешности, по его словам, они нередко применяли устаревшие версии библиотек, в которых уже имелись уязвимости.
Янов также упомянул еще одну возможную причину. Он заметил, что рост числа критических уязвимостей в образовательном ПО может быть связан с нехваткой финансирования. По его мнению, EdTech-приложения приносят значительно меньше доходов по сравнению с программами из более востребованных категорий, из-за чего разработчикам приходится урезать бюджет на кибербезопасность.
Как рассказал изданию генеральный директор группы компаний ST IT Антон Аверьянов, для образовательного сектора уже давно стало «традицией» уделять меньше внимания информационной безопасности, чем банки и телекоммуникационные компании. Он связал это с тем, что долгое время образовательное ПО не считалось привлекательной целью для киберпреступников. В современных условиях хакеры все чаще взламывают такие приложения, чтобы получить доступ к персональным данным родителей, их детей и преподавателей, добавил Аверьянов.
Свою роль могло сыграть и постепенное усложнение внутренней архитектуры образовательного ПО, считает аналитик Positive Technologies Анна Вяткина. Она предполагает, что это связано с ростом числа интеграций такого софта со сторонними системами — платежными, ВКС, облачными, аналитическими и другими. Она также согласна с тем, что разработчики ставят скорость разработки и выпуска на первое место, а безопасность пользователей часто оказывается не в приоритете.
Отдельно Анна Вяткина подчеркнула, что «на растущее количество уязвимостей также влияют распространенные ИИ-инструменты генерации кода, которые склонны приводить к появлению типовых ошибок безопасности», пишут «Ведомости».