Эксперты AppSec Solutions проверили ТОП-100 мобильных приложений для путешествий и нашли 1336 уязвимостей. Из них почти 30% относятся к категории «высокий уровень риска», что может привести к утечкам чувствительных данных и навредить пользователям или компании-владельцу.
Часто встречающиеся проблемы:
🔹 Некорректное хранение токенов сторонних сервисов, что может теоретически открыть злоумышленнику доступ к данным с помощью стороннего сервиса. Таких токенов в приложениях для путешествий было найдено более ста.
🔹 Формирование Intent (задачи), то есть объекта, который служит для связи между компонентами мобильного приложения. Данные из сторонних источников могут привести к формированию Intent с вредными элементами, и сделать работу приложения непредсказуемой.
Кроме технических атак, туристы сталкиваются с частыми фишинговыми угрозами, например — рассылками мошеннических приглашений на поддельные сайты бронирования. Отличить такие ресурсы от настоящих можно лишь по незначительным деталям, таким, как доменное имя или сертификат безопасности. Подобные схемы обычно направлены на хищение денег и конфиденциальных данных пользователей.
— пояснил Юрий Шабалин, директор по продукту «Стингрей» компании AppSec Solutions.
#AppSec_исследование #AppSec_Stingray
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤5
Исследование уязвимостей мобильных приложений📱
Команда AppSec Solutions представила результаты ежегодного исследования приложений российских разработчиков. Тестирование проводилась методом «черного ящика», без доступа к исходному коду, что максимально приближает его к реальным условиям атаки. Безопасность приложений проверялась с помощью «Стингрей» — платформы автоматизированного анализа защищенности мобильных приложений.
🛡 Эксперты проверили 1 675 Android-приложений из 18 категорий — от финтеха и онлайн-ритейла до здравоохранения, образования и корпоративных сервисов.
— прокомментировал результаты Юрий Шабалин, директор по продукту «Стингрей» компании AppSec Solutions.
➡️ Собрали главное в карточках, а полную версию исследования можно найти на странице нашего спецпроекта на CNews.
#AppSec_исследование #AppSec_Stingray
Команда AppSec Solutions представила результаты ежегодного исследования приложений российских разработчиков. Тестирование проводилась методом «черного ящика», без доступа к исходному коду, что максимально приближает его к реальным условиям атаки. Безопасность приложений проверялась с помощью «Стингрей» — платформы автоматизированного анализа защищенности мобильных приложений.
Как и год-два назад основной проблемой является небезопасное хранение данных. Это могут быть и пароли от приложений, и сессионные идентификаторы, и токены доступа для своих сервисов. В этом году на первом месте – небезопасное хранение ключей доступа от сторонних сервисов. Эти сервисы могут содержать большое количество конфиденциальной информации, утечка которой может быть опасна как для пользователей, так и для компании.
— прокомментировал результаты Юрий Шабалин, директор по продукту «Стингрей» компании AppSec Solutions.
#AppSec_исследование #AppSec_Stingray
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12❤4
7 фич AppSec.Hub, без которых не обойтись в 2025 году
Команда AppSec.Hub продолжает развивать платформу, чтобы вы могли эффективнее управлять безопасностью приложений — от масштабируемости до триажа.
🔥 Рассказываем про 7 ключевых функций, которые делают продукт особенно актуальным в 2025 году:
1️⃣ Отказ от Jenkins в роли hub-engine-manager
Платформа теперь самостоятельно управляет очередями и агентами, обеспечивая полный контроль процессов. Это улучшает безопасность, снижает зависимость от внешней инфраструктуры и позволяет гибко масштабировать решение в зависимости от нагрузки.
2️⃣ Интеграция с AppSec.Track OSA
Расширяет функциональные возможности платформы: теперь вы можете централизованно управлять исключениями и поддерживать экосистему с минимальными затратами ресурсов.
3️⃣ Запрос на смену статуса сработки
Новая модель коммуникации между разработчиками и специалистами по безопасности снижает барьеры, помогает в обучении младших коллег и упрощает контроль качества решений, принятых в рамках триажа.
4️⃣ Архивация и удаление уязвимостей
Позволяет сосредоточиться на действительно важных и актуальных рисках. Устранение информационного шума повышает производительность команды.
5️⃣ Автоматическое закрытие и переоткрытие дефектов
Теперь исправления подтверждаются автоматически, а любые несоответствия в статусах сразу привлекают внимание — благодаря этому исключается ручной контроль и минимизируется человеческий фактор.
6️⃣ Правила для групп корреляции
Гибкая логика обработки уязвимостей позволяет настраивать их статусы в зависимости от истории триажа, а также автоматически создавать дефекты по подтвержденным проблемам. Это упрощает процесс принятия решений и структурирует работу команды.
7️⃣ Cloud-ready решение
Платформа масштабируется горизонтально, что особенно важно для распределенных команд и высоконагруженных CI/CD-конвейеров. Высокая производительность сохраняется даже при росте количества сканирований и данных.
#AppSecHub #ASPM #AppSec_FAQ
Команда AppSec.Hub продолжает развивать платформу, чтобы вы могли эффективнее управлять безопасностью приложений — от масштабируемости до триажа.
1️⃣ Отказ от Jenkins в роли hub-engine-manager
Платформа теперь самостоятельно управляет очередями и агентами, обеспечивая полный контроль процессов. Это улучшает безопасность, снижает зависимость от внешней инфраструктуры и позволяет гибко масштабировать решение в зависимости от нагрузки.
2️⃣ Интеграция с AppSec.Track OSA
Расширяет функциональные возможности платформы: теперь вы можете централизованно управлять исключениями и поддерживать экосистему с минимальными затратами ресурсов.
3️⃣ Запрос на смену статуса сработки
Новая модель коммуникации между разработчиками и специалистами по безопасности снижает барьеры, помогает в обучении младших коллег и упрощает контроль качества решений, принятых в рамках триажа.
4️⃣ Архивация и удаление уязвимостей
Позволяет сосредоточиться на действительно важных и актуальных рисках. Устранение информационного шума повышает производительность команды.
5️⃣ Автоматическое закрытие и переоткрытие дефектов
Теперь исправления подтверждаются автоматически, а любые несоответствия в статусах сразу привлекают внимание — благодаря этому исключается ручной контроль и минимизируется человеческий фактор.
6️⃣ Правила для групп корреляции
Гибкая логика обработки уязвимостей позволяет настраивать их статусы в зависимости от истории триажа, а также автоматически создавать дефекты по подтвержденным проблемам. Это упрощает процесс принятия решений и структурирует работу команды.
7️⃣ Cloud-ready решение
Платформа масштабируется горизонтально, что особенно важно для распределенных команд и высоконагруженных CI/CD-конвейеров. Высокая производительность сохраняется даже при росте количества сканирований и данных.
#AppSecHub #ASPM #AppSec_FAQ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍4❤2💯2🏆2
AppSec Solutions на форуме «Технологии доверенного ИИ 2025»
Как защищать алгоритмы и вписывать ИИ в DevSecOps? Ответят эксперты 20 мая в Москве в кластере «Ломоносов», ИНТЦ МГУ «Воробьёвы горы».
На форуме ТДИИ-2025 соберутся представители Минцифры РФ, ИСП РАН, ФСТЭК и других ключевых структур, чтобы обсудить:
▶️ этичное и безопасное развитие ИИ
▶️ борьбу с дипфейками и генеративными атаками
▶️ внедрение ИИ в госсектор, медицину и образование
Антон Башарин, старший управляющий директор AppSec Solutions, выступит в секции «Атаки на системы ИИ и методы защиты» с докладом «DevSecOps 2.0: Будущее безопасности и разработки в эпоху ИИ».
🗓 14:30–16:10, зал «Молекула»
Эксперт расскажет о типах атак на нейросети, объяснит, как встроить ИИ в DevSecOps-процессы, какие задачи можно автоматизировать, и какие решения уже сейчас помогают анализировать безопасность моделей и защищать их от уязвимостей.
Регистрируйтесь и присоединяйтесь — будет интересно!
#AppSec_Мероприятия
Как защищать алгоритмы и вписывать ИИ в DevSecOps? Ответят эксперты 20 мая в Москве в кластере «Ломоносов», ИНТЦ МГУ «Воробьёвы горы».
На форуме ТДИИ-2025 соберутся представители Минцифры РФ, ИСП РАН, ФСТЭК и других ключевых структур, чтобы обсудить:
Антон Башарин, старший управляющий директор AppSec Solutions, выступит в секции «Атаки на системы ИИ и методы защиты» с докладом «DevSecOps 2.0: Будущее безопасности и разработки в эпоху ИИ».
Эксперт расскажет о типах атак на нейросети, объяснит, как встроить ИИ в DevSecOps-процессы, какие задачи можно автоматизировать, и какие решения уже сейчас помогают анализировать безопасность моделей и защищать их от уязвимостей.
Регистрируйтесь и присоединяйтесь — будет интересно!
#AppSec_Мероприятия
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤2👍2
Пиратские приложения для ТВ-приставок могут содержать вредоносный код
Исследование Стингрей показывает: уязвимостей в ТВ-приложениях не меньше, чем в мобильных. Только риски — куда серьезнее.
Пиратские приложения для ТВ-приставок могут содержать зловредный код, который в дальнейшем проникает во всю систему. Особенно уязвимы приставки с root-доступом, которые часто встречаются в Android-устройствах. Их пользователи сильнее подвержены угрозам безопасности по части личных данных и других приложений — особенно, если они были установлены из неофициальных источников.
— поделился Юрий Шабалин, директор по продукту «Стингрей» в интервью РИА Новости.
💡 Совет от эксперта: скачивайте приложения только из официальных магазинов. И не отключайте встроенные меры безопасности.
#AppSec_исследование
Исследование Стингрей показывает: уязвимостей в ТВ-приложениях не меньше, чем в мобильных. Только риски — куда серьезнее.
Пиратские приложения для ТВ-приставок могут содержать зловредный код, который в дальнейшем проникает во всю систему. Особенно уязвимы приставки с root-доступом, которые часто встречаются в Android-устройствах. Их пользователи сильнее подвержены угрозам безопасности по части личных данных и других приложений — особенно, если они были установлены из неофициальных источников.
В каком-либо из установленных приложений может содержаться дополнительный функционал, позволяющий хакерам получить удаленный доступ к устройству и сделать его, например, частью ботнет-сети или заполучить аккаунт официального приложения, к которому привязана банковская карта пользователя.
— поделился Юрий Шабалин, директор по продукту «Стингрей» в интервью РИА Новости.
#AppSec_исследование
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2⚡2
Релиз Стингрей 2025.5: что нового?
Вышел новый релиз Стингрей — платформы автоматизированного анализа защищенности мобильных приложений.
🖥 Рассказываем в карточках про новые типы дефектов, расширенные правила анализа и многое другое.
- отметил Никита Пинаев, руководитель отдела анализа защищенности Стингрей
➡️ Обо всех изменениях читайте на сайте.
#Стингрей_Релизы
Вышел новый релиз Стингрей — платформы автоматизированного анализа защищенности мобильных приложений.
В этом релизе мы сделали упор на повышение стабильности работы Стингрея и улучшение правил поиска. Ещё доработали модуль трасс вызовов, добавив сравнение версий приложений, и усилили анализ среды — теперь определяются отладчики и Frida. Плюс — обновили базу знаний и рекомендации по безопасной разработке.
- отметил Никита Пинаев, руководитель отдела анализа защищенности Стингрей
#Стингрей_Релизы
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6
Искусственный интеллект уже стал неотъемлемой частью бизнес-процессов, но вместе с возможностями приходят и риски.
По данным Национального центра искусственного интеллекта при Правительстве России, 43% российских компаний используют искусственный интеллект в своей работе, но только у 36% есть хотя бы минимальные политики безопасности в этой области. Злоумышленники справедливо полагают, что ИИ стал уязвимым местом, и активно этим пользуются.
— отметил Антон Башарин, старший управляющий директор AppSec Solutions.
AI-агентов можно «отравить» данными, перегрузить, использовать для каскадных атак или внедрения бэкдоров. Без политики безопасности и контроля такие инструменты превращаются в идеальную точку входа, становясь своего рода «троянским конем».
Подход к ИИ должен быть таким же, как к любым цифровым сервисам. Безопасность по умолчанию, инструментальный аудит, регулярная проверка архитектуры. MLSecOps — не мода, а необходимость.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7💯3❤1
Встречайте обновление нашей платформы предотвращения атак на цепочки поставок ПО.
Что еще:
🔹Добавили функцию поиска секретов в разделе «Приложения»
🔹Сделали редизайн интерфейса, чтобы работать с платформой было еще удобнее
Оцените новые возможности AppSec.Track уже сегодня!
#AppSecTrack_Релизы
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤3👍3
Как уязвимость в AI-ассистентах открывает доступ к почте
На Хабре вышла новая статья Юрия Шабалина, директора продукта Стингрей. Он обнаружил типовую, но опасную ошибку, которую копируют из туториалов по созданию персонального AI-ассистента. Оказалось, что из-за одной неявной настройки можно случайно открыть доступ к почте, календарю, контактам и другим персональным данным.
➡️ Читайте статью на Хабре и смотрите видео Юрия о том, как используется эта уязвимость.
👍 Если вы создаете собственного AI-агента, не важно на какой платформе — не забудьте проверить его на типичные уязвимости, особенно связанные с LLM. Проявите бдительность, и ваши «Джарвисы» будут служить именно вам, а не посторонним.
#Экспертиза_AppSec
На Хабре вышла новая статья Юрия Шабалина, директора продукта Стингрей. Он обнаружил типовую, но опасную ошибку, которую копируют из туториалов по созданию персонального AI-ассистента. Оказалось, что из-за одной неявной настройки можно случайно открыть доступ к почте, календарю, контактам и другим персональным данным.
#Экспертиза_AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍1
AppSec Solutions на IT IS conf уже завтра
🎙 19 июня в 17:30 на конференции IT IS conf Антон Башарин, старший управляющий директор AppSec Solutions, выступит с докладом «ASPM в цифрах, или почему без помощи искусственного интеллекта не обойтись».
О чем расскажем:
🔹 Как с помощью искусственного интеллекта автоматизировать и ускорить обработку уязвимостей
🔹 Как языковые модели (Large Language Models) и обучение с подкреплением (Reinforcement Learning) обеспечивают более точный триаж
🔹 Почему интеграция платформы ASPM с ИИ — это следующий шаг в развитии процессов ИБ
IT IS conf — конференция о трендах в ИТ и ИБ, на которой эксперты обсуждают комплексный подход к кибербезопасности и современные технологии.
➡️ До встречи в Екатеринбурге или подключайтесь к прямой трансляции мероприятия!
#AppSec_Мероприятия
О чем расскажем:
🔹 Как с помощью искусственного интеллекта автоматизировать и ускорить обработку уязвимостей
🔹 Как языковые модели (Large Language Models) и обучение с подкреплением (Reinforcement Learning) обеспечивают более точный триаж
🔹 Почему интеграция платформы ASPM с ИИ — это следующий шаг в развитии процессов ИБ
IT IS conf — конференция о трендах в ИТ и ИБ, на которой эксперты обсуждают комплексный подход к кибербезопасности и современные технологии.
#AppSec_Мероприятия
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤1