Эксперты компании AppSec Solution представили результаты ежегодного анализа защищённости мобильных приложений, в котором приняли участие более 1,2 тыс. востребованных продуктов, созданных для платформы Android. Проверка проводилась без доступа к исходному коду, однако это не помешало специалистам обнаружить уязвимости критического или высокого уровня в 84 % протестированных приложений.
Источник изображения: Towfiqu barbhuiya / unsplash.com
Число уязвимостей, отнесённых к категории критических, достигло 19 тыс. В целом количество обнаруженных проблем возросло на 68 % — с 29,9 тыс. в 2024 году до 48,8 тыс. в 2025 году. Наибольшее количество уязвимостей зафиксировано в приложениях из категорий «Игры», «Стриминговые сервисы», «Финансы», «Бизнес-приложения» и «Средства массовой информации».
В финансовом секторе количество опасных уязвимостей за последние три года увеличилось почти в 10 раз, составив 1921 случай. В AppSec Solution связывают такую динамику с интеграцией банковских приложений с другими сервисами, что ведёт к росту числа встроенных в код бэкдоров и точек ненадёжного хранения конфиденциальных данных. Кроме того, специалисты стали проводить более детальный анализ, что также способствовало увеличению числа выявляемых проблем.
Среди типов критических уязвимостей чаще всего встречаются проблемы, связанные с небезопасным хранением токенов, ключей и пользовательских данных. Новым источником угроз стал и искусственный интеллект. «С одной стороны, ИИ ускоряет процесс разработки, с другой — кодовая база расширяется, и потенциальные ошибки накапливаются. ИИ хорошо справляется с созданием работоспособного кода, но писать безопасный код он умеет не всегда, так как обучался на примерах, которые сегодня представляют собой устаревшие или уязвимые подходы к разработке», — отмечает Сергей Полунин, руководитель группы защиты инфраструктуры IT-решений компании «Газинформсервис».
Согласно данным пресс-службы ГК «Солар», популярные модели ИИ пропускают от 40 % до 50 % уязвимостей в коде. Нехватка квалифицированных специалистов лишь усугубляет проблему накопления ошибок в коде, в том числе критических, способных привести к утечке конфиденциальной и личной информации пользователей. По информации компании, такие уязвимости обнаруживаются в 75 % приложений.
Никита Пинаев, возглавляющий направление AppSec.Sting в компании AppSec Solution, прогнозирует дальнейший рост числа уязвимостей в мобильных приложениях к 2026 году. «Количество SDK и облачных интеграций увеличивается, а ИИ-сгенерированный код все чаще воспроизводит небезопасные шаблоны хранения конфиденциальных данных», — пояснил Пинаев. Он уверен, что переломить эту ситуацию возможно «лишь при переходе от точечных проверок к системному подходу, основанному на оценке рисков».
