94% ecom-приложений уязвимы — тревожный сигнал для бизнеса

Согласно статистике, в 2024 более 70% покупок в ритейле совершались через смартфоны, а установка ecom-приложений выросла на 61%. Но что насчёт безопасности?

Эксперты команды Стингрей проверили 100+ популярных Android-приложений в сегментах e-commerce и e-grocery.

Результат пугает:
🔹1870 уязвимостей обнаружено, из них 33% категории High и/или Critical
🔹88% хранят sensitive-информацию в исходном коде
🔹71% хранят данные от сторонних сервисов в открытом виде

Типичные проблемы:
— небезопасное хранение данных
— утечки ключей
— уязвимая аутентификация
— чувствительная информация прямо в коде

Найденные уязвимости — не просто технический долг. Это риск финансовых потерь, штрафов и утраты доверия клиентов.

➡️ Закажите демо-отчет от Стингрей и узнайте, как обстоят дела с безопасностью вашего мобильного продукта.

#AppSec_исследование #AppSec_Sting

🛡Как построить безопасный MLOps-пайплайн?

Модели машинного обучения всё активнее используются в компаниях, но у многих команд еще нет четкого понимания, как защищать такие системы.

Александр Серов, ведущий специалист по безопасности LLM в AppSec Solutions, разобрал, как выстроить безопасность ML-процессов на практике.

В статье:
▶️ Tier-уровни зрелости безопасности
▶️ Где в ML-пайплайне прячутся уязвимости
▶️ Какие инструменты реально работают
▶️ Как понять, на каком уровне сейчас ваша команда

➡️ Читайте и стройте защищенный MLOps.

#Экспертиза_AppSec

🆓 Вышел релиз AppSec.Hub 2025.2.1

Расширили возможности интеграций и добавили полезные фичи в нашу ASPM-платформу. Смотрите, что обновилось 📥

🔗 Интеграции:

▶️ AppSec.Track: обновили механизм получения сработок из прокси-репозиториев
▶️ CodeScoring: добавили возможность сканирования артефактов всех типов и настройки локального/облачного резолва зависимостей

🔝 Ключевые улучшения:

▶️Расширенные возможности оркестрации с использованием Hub Engine
Сканируйте артефакты с новыми поддерживаемыми инструментами в Hub Engine

▶️ Отображение агентов и очередей задач в панели администратора
Отслеживайте загруженность, выявляйте узкие места и своевременно реагируйте на сбои.

▶️ Поддержка самоподписанных сертификатов в агентах
Обеспечьте возможность безопасной связи агентов с сервером с помощью самоподписанных сертификатов. Это упрощает развертывание в изолированных или внутренних сетях и повышает гибкость настройки безопасности.

▶️ Фильтрация уязвимостей по языкам программирования
Сосредоточьтесь на релевантных для вашего проекта уязвимостях. Это ускоряет анализ, помогает приоритизировать исправления и улучшает качество отчетов для команд разработчиков.

▶️ Управление весами для расчета WRI групп корреляции
Настраивайте важность различных факторов при вычислении индекса риска (WRI), чтобы точнее отражать приоритеты вашей организации. Это делает оценку уязвимостей более адаптированными к вашим процессам, что повышает точность реагирования на риски безопасности.

Ну и как всегда — полезные улучшения и исправления, чтобы работать с платформой было еще удобнее 💙

Все подробности на сайте 🖥

🆓 #AppSecHub_Релизы

Cтингрей теперь AppSec.Sting
Что изменилось? Только имя 🙂

Наша платформа автоматизированного анализа защищенности мобильных приложений теперь называется AppSec.Sting.

Это шаг к единому стилю нашей экосистемы AppSec Solutions и логичное продолжение развития продукта, который вы уже хорошо знаете.

В работе платформы всё без изменений: те же передовые технологии, та же команда и надежность.

В центре нашего подхода по-прежнему:

▶️ Глубокий анализ и приоритезация уязвимостей
▶️ Автоматизация ручного тестирования
▶️ Соответствие требованиям регуляторов и стандартам безопасности

Ребрендинг «Стингрей» в AppSec.Sting — это важный шаг для нашей команды. Мы стремимся к единству брендов внутри экосистемы AppSec Solutions. AppSec.Sting, сохранив передовые технологии анализа защищенности мобильных приложений, теперь еще теснее интегрирован с другими нашими решениями, что позволит клиентам получать максимально эффективную защиту и еще быстрее реагировать на новые угрозы.

— прокомментировал Юрий Шабалин, директор по продукту AppSec.Sting.

Все условия сотрудничества и поддержка остаются без изменений.

Спасибо, что выбираете нас. 💙

#AppSecSting

📞 Как вирус прячется в мобильном приложении?

Пока вы листаете ленту соцсетей, ваш смартфон может включать камеру, подслушивать, считывать СМС и пересылать пароли злоумышленникам.

☝️Как это возможно? Объясняет Юрий Шабалин, директор по продукту AppSec.Sting:

Вирус может маскироваться под обычное приложение. У злоумышленников есть сервер, который в нужный момент отдает команду "пора включать активность". Приложение подгружает код и начинает, например, читать ваши сообщения, выгружать контакты или фото. То есть с виду легитимное ПО внутри скрывает функционал, который позволяет загружать и выполнять чужой код. Такие вирусы называют "фишинговыми ловушками" или "спящими красавицами" — скрытыми загрузчиками, которые активируются по сигналу.

Наиболее популярный вид вредоносного ПО сегодня — Adware (рекламные коды). Он может показывать навязчивую рекламу, сильно нагревать устройство, быстро разряжать батарею и замедлять работу приложений. Телефон просматривает рекламу, и вы этого даже не замечаете.


⚠️ Как не пустить вирусных подселенцев в свое устройство?

🔹Не скачивайте приложения по ссылкам из СМС и пуш-уведомлений

🔹Внимательно проверяйте, какие разрешения запрашивают установленные приложения

➡️ Подробности в специальном репортаже телеканала «Москва 24».

#AppSecSting #Экспертиза_AppSec

🔜 AppSec Solutions на K8s COMMUNITY DAY

Как снизить риски кибератак на инфраструктуру? Обсудим 31 июля на конференции KUBERNETES COMMUNITY DAY в Москве.

🎤 Михаил Черешнев, руководитель группы безопасности виртуализации и контейнеризации в AppSec Solutions, выступит с докладом «IaC Security. GitOps и Policy as Code как способ предотвращения атак на инфраструктуру» и поделится практическими советами по усилению безопасности инфраструктуры.

⏱12:00–12:30
📍Трек «Хардкор»

K8s COMMUNITY DAY — конференция для тех, кто работает с Kubernetes: разворачивает, автоматизирует, защищает. В программе: доклады, воркшопы, нетворкинг и IT Stand Up.

До встречи в Москве или онлайн.

#AppSec_Мероприятия