Компания «Ростелеком-Solar» ко Дню защиты детей провела исследование уязвимостей популярных мобильных игровых приложений для детей. Анализ
Игровая индустрия ежегодно демонстрирует завидную стабильность роста. По данным отчета мирового лидера в области игровой аналитики Newzoo, в 2018 году объём глобального рынка мобильных игровых приложений достиг 63,2 миллиарда долларов США, что на 12,8% больше, чем в 2017. По прогнозам Newzoo, отечественный рынок по итогам 2018 года принесет игровикам 1,7 млрд долларов, а Россия займет 11 место среди топ-20 стран по объему игрового рынка.
Большинство мобильных игр содержат платные опции, весьма востребованные у аудитории. Многие пользователи готовы платить за те или иные игровые преимущества, и в первую очередь — дети. Однако в случае, если приложение не безопасно, персональные и платежные данные игроков могут стать добычей киберпреступников.
«Уязвимости мобильных приложений — один из наиболее часто используемых каналов, который используется злоумышленниками для получения доступа к пользовательским данным. И несмотря на то, что для этого исследования были отобраны лишь бесплатные мобильные игры, однако большинство из них содержат встроенные покупки, а значит, работают с платежными данными пользователей. Их компрометация открывает злоумышленникам прямой доступ к деньгам маленьких игроков, а точнее — их родителей», — отметил Даниил Чернов, руководитель направления Solar-appScreener «Ростелеком-Solar».
Компания «Ростелеком-Solar» провела сравнительное исследование защищенности следующих популярных мобильных игровых приложений для детей: 3D Лабиринт, Angry Birds 2, Asterix and Friends, Cut the Rope, Disney Crossy Road, Dragons: Rise of Berk, LEGO NINJAGO: Ride Ninja, Minion Rush: «Гадкий Я», «Лунтик: Детские игры», «Маша и Медведь: Игры для Детей», «Ми-ми-мишки», «Смешарики. Крош», «Таинственные дела Скуби-Ду», «Три Кота Пикник». Для анализа были отобраны игровые приложения из категории «Семейные», согласно критерию популярности: количеству скачиваний в App Store и Google Play, а также позиции в рейтингах популярных мобильных игр для детей. Все приложения рассматривались в вариантах для мобильных операционных систем iOS и Android.
Более чем в 80% Android-приложений, содержащих критические уязвимости, ключ шифрования задан в исходном коде, что открывает злоумышленникам доступ к содержащимся в приложении данным. А более половины Android-приложений, содержащих критические уязвимости, могут привести к полной утрате конфиденциальности пользовательских данных.
Самыми защищенными Android-версиями мобильных игровых приложений для детей являются: «Три Кота Пикник» (DevGame OU), «Маша и Медведь: Игры для Детей» (Hippo Games for Kids) и «Таинственные дела Скуби-Ду» (Warner Bros). Их общий уровень защищенности равен 4.6, 4.6 и 4.1 балла соответственно из
Исследованные игры на базе iOS отличаются значительно более низкой степенью защищенности по сравнению с Android-аналогами. Лишь одному приложению — LEGO NINJAGO: Ride Ninja (LEGO System A/S) — удалось продемонстрировать уровень защищенности в 2.6 балла из
Все исследованные игровые приложения на базе iOS подвержены критической уязвимости «слабый алгоритм хеширования», потенциально ведущей к компрометации пользовательских данных. Кроме того, все iOS-приложения содержат уязвимости, которыми злоумышленник может воспользоваться для выполнения вредоносного кода на смартфоне или осуществления атаки на приложение.
Анализ безопасности кода осуществлялся автоматически с помощью Solar appScreener — российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме.