70% игровых приложений для смартфонов содержат уязвимости

AppSec Solutions проанализировали около полусотни популярных приложений для мобильных игр с помощью инструмента AppSec.Sting и обнаружили порядка 700 уязвимостей. 90 из них — уровня «высокий» и «критический».

«Самые опасные из таких уязвимостей — хранение чувствительной информации в открытом виде, в частности, 12 содержали пароли и токены в исходном коде приложения, что облегчает хакерам взлом системы. Также в 13 приложениях не было проверки целостности, что позволяет достаточно легко модифицировать логику игры путем модификации сборки», — рассказал руководитель отдела анализа защищенности AppSec.Sting компании AppSec Solutions Никита Пинаев.

Эксперт перечислил основные проблемы безопасности, обнаруженные в мобильных играх.

Первая проблема — избыточное доверие к клиентской логике.
В значительной части проанализированных приложений критически важные механики, включая расчет наград, прогресса и внутриигровых ресурсов, реализованы на стороне клиента без полноценной серверной валидации. Наличие подобных дефектов позволяет осуществлять модификацию данных в памяти, подмену локального состояния и повторное воспроизведение сетевых запросов. Эксплуатация данных уязвимостей приводит к нарушению игровой экономики, снижению честности игрового процесса и негативно сказывается на удержании пользователей и монетизации.

Вторая проблема — небезопасное хранение данных и недостаточная защищенность сетевого взаимодействия.
В ряде игр чувствительные данные хранились локально без применения механизмов шифрования и контроля целостности. Дополнительно были выявлены недостатки в защите сетевого канала, включая отсутствие дополнительных проверок подлинности запросов и защит от повторного воспроизведения. Данные уязвимости создают предпосылки для подмены информации, несанкционированного доступа к пользовательским данным и автоматизации мошеннических сценариев.

Третья проблема — отсутствие эффективной защиты от реверс-инжиниринга и модификации приложения.
Многие приложения поставлялись без обфускации кода, проверок целостности и базовых механизмов противодействия анализу и модификации. Это существенно упрощает изучение бизнес-логики, извлечение конфиденциальных параметров и распространение модифицированных клиентов, а также ускоряет эксплуатацию иных уязвимостей.

Эти и другие проблемы свидетельствуют о недостаточном внимании к вопросам безопасности при разработке мобильных игр. На практике такие дефекты трансформируются в значимые бизнес-риски, включая финансовые потери, рост мошенничества и репутационные издержки.