02/10/20
Исследователи безопасности из компании Interstrust проанализировали 100 общедоступных мобильных приложений для iOS и Android в сфере здравоохранения по целому ряду категорий, включая телемедицину, медицинское оборудование, торговлю в сфере здравоохранения и отслеживание распространения заражений коронавирусной инфекцией (COVID-19) с целью выявить наиболее опасные угрозы.
Все 100 приложений были проанализированы с использованием ряда методов статического тестирования безопасности приложений (SAST) и динамического тестирования безопасности приложений (DAST), основанных на рекомендациях по безопасности мобильных приложений проекта OWASP.
Криптографические проблемы представляют собой одну из наиболее распространенных и серьезных угроз — 91% проанализированных приложений не прошли один или несколько криптографических тестов. Таким образом, шифрование, используемое в этих медицинских приложениях, может быть легко взломано киберпреступниками, потенциально раскрывая конфиденциальные данные пациентов и позволяя злоумышленникам вмешиваться в сообщаемые данные, отправлять вредоносные команды подключенным медицинским устройствам или иным образом использовать приложение в злонамеренных целях.
71% протестированных медицинских приложений содержат хотя бы одну опасную уязвимость. 34% приложений для Android и 28% приложений для iOS уязвимы к извлечению ключа шифрования.
Большинство приложений мобильного здравоохранения содержат множество проблем с безопасностью хранения данных. Например, 60% протестированных Android-приложений хранят информацию в SharedPreferences, оставляя незашифрованные данные доступными для чтения и редактирования злоумышленникам и вредоносным приложениям.
Что касается приложений для отслеживания контактов с больными COVID-19, то 85% программ допускают утечки данных.
