Уязвимости проникли в 70% игровых приложений для смартфонов

AppSec Solutions проанализировали около полусотни популярных приложений для мобильных игр с помощью инструмента AppSec.Sting и обнаружили около 700 уязвимостей. 90 из них - уровня "высокий" и "критический".

"Самые опасные из таких уязвимостей - хранение чувствительной информации в открытом виде, в частности, 12 содержали пароли и токены в исходном коде приложения, что облегчает хакерам взлом системы. Также в 13 приложениях не было проверки целостности, что позволяет легко модифицировать логику игры путем модификации сборки", - рассказал руководитель отдела анализа защищенности AppSec.Sting компании AppSec Solutions Никита Пинаев.

Эксперт перечислил основные проблемы безопасности, обнаруженные в мобильных играх.

Первая проблема - избыточное доверие к клиентской логике. В значительной части проанализированных приложений критически важные механики, включая расчет наград, прогресса и внутриигровых ресурсов, реализованы на стороне клиента без полноценной серверной валидации. Наличие подобных дефектов позволяет осуществлять модификацию данных в памяти, подмену локального состояния и повторное воспроизведение сетевых запросов. Эксплуатация данных уязвимостей приводит к нарушению игровой экономики, снижению честности игрового процесса и негативно сказывается на удержании пользователей и монетизации.

Вторая проблема - небезопасное хранение данных и недостаточная защищенность сетевого взаимодействия. В ряде игр чувствительные данные хранились локально без применения механизмов шифрования и контроля целостности. Дополнительно были выявлены недостатки в защите сетевого канала, включая отсутствие дополнительных проверок подлинности запросов и защит от повторного воспроизведения. Данные уязвимости создают предпосылки для подмены информации, несанкционированного доступа к пользовательским данным и автоматизации мошеннических сценариев.

Третья проблема - отсутствие эффективной защиты от реверс-инжиниринга и модификации приложения. Многие приложения поставлялись без обфускации кода, проверок целостности и базовых механизмов противодействия анализу и модификации. Это существенно упрощает изучение бизнес-логики, извлечение конфиденциальных параметров и распространение модифицированных клиентов, а также ускоряет эксплуатацию иных уязвимостей.

Эти и другие проблемы свидетельствуют о недостаточном внимании к вопросам безопасности при разработке мобильных игр. На практике такие дефекты трансформируются в значимые бизнес-риски, включая финансовые потери, рост мошенничества и репутационные издержки.

Как могут защитить персональные данные пользователи приложений:

1. Устанавливайте игры только из официальных источников. Загрузка приложений из сторонних магазинов и неофициальных сайтов значительно повышает риск установки модифицированных или вредоносных версий игр.
2. Осторожно относитесь к модам, читам и "взломанным" версиям. Использование подобных решений часто приводит не только к блокировке аккаунта, но и к утечке личных данных или заражению устройства.
3. Ограничивайте разрешения приложений. Предоставляйте игре только те разрешения, которые необходимы для ее работы, и периодически пересматривайте их в настройках устройства.
4. Обновляйте игры и операционную систему. Обновления нередко содержат исправления уязвимостей и повышают общий уровень безопасности приложения.
5. Не используйте одинаковые пароли и учетные данные. Для игровых аккаунтов рекомендуется использовать уникальные пароли и, при возможности, включать дополнительные механизмы защиты.