84% российских мобильных приложений содержат серьёзные уязвимости — одна из причин в ИИ-коде
Кодик кратко объясняет суть статьи
Эксперты AppSec Solutions выявили 48,8 тыс. уязвимостей в популярных мобильных приложениях российских разработчиков в 2025 году — на 63% больше, чем в 2024 году. Исследование охватило более 1,2 тыс. приложений для Android, протестированных методом «чёрного ящика». У 84% приложений обнаружены уязвимости критического или высокого уровня, свыше 19 тыс. из них — критические. Наибольшее число проблем зафиксировано в играх, стриминговых сервисах, финансовых, бизнес-приложениях и СМИ. В финансовом секторе количество критических уязвимостей за три года выросло почти в десять раз — до 1921 случая в 2025 году. У 75% приложений выявлены проблемы с небезопасным хранением токенов, ключей и персональных данных. Рост угроз связан с использованием ИИ-генерации кода, который может воспроизводить устаревшие и уязвимые практики, а также с усложнением приложений, обилием стороннего кода и сжатыми сроками разработки. При этом популярные языковые модели пропускают 40–50% уязвимостей. Дополнительно на рост показателей повлияли улучшенные методы анализа. Эксперты прогнозируют дальнейший рост уязвимостей в 2026 году из-за расширения использования сторонних SDK, облачных интеграций и ИИ. Для сдерживания тенденции необходим системный подход к безопасности на всех этапах разработки.
Читайте в Telegram
|
Эксперты по кибербезопасности из компании AppSec Solutions обнаружили в популярных мобильных приложениях российских разработчиков 48,8 тыс. уязвимостей за 2025 год — на 63 % больше, чем годом ранее (29,9 тыс.).
Как пишет «Коммерсантъ», в выборку вошли более 1,2 тыс. программ на Android, которые тестировали методом «чёрного ящика» — без доступа к исходному коду. У 84 % приложений нашлись уязвимости «критического» или «высокого» уровня, а число только критических угроз превысило 19 тыс.
Больше всего проблем выявили в играх, стриминговых платформах, финансовых и бизнес-приложениях, а также в приложениях СМИ. Особенно заметен рост в финансовом секторе: число наиболее опасных уязвимостей там за три года увеличилось почти в десять раз и достигло 1921 случая в 2025 году. Чаще всего встречается небезопасное хранение токенов, ключей и пользовательских данных — уязвимости, открывающие доступ к конфиденциальной информации, нашлись в 75 % приложений.
Одним из новых источников угроз эксперты называют код, сгенерированный искусственным интеллектом. По словам специалиста компании «Газинформсервис» Сергея Полунина, ИИ ускоряет разработку, но безопасный код пишет не всегда: модели обучались на примерах, которые сегодня считаются устаревшими или уязвимыми практиками, и тиражируют эти ошибки. По данным пресс-службы ГК «Солар», популярные языковые модели пропускают от 40 до 50 % уязвимостей в коде.
Сказывается и усложнение самих приложений. Современные банковские программы содержат большой объём стороннего кода — библиотек и компонентов для платежей, биометрии, поддержки, — а сжатые сроки выпуска новых функций оставляют мало времени на тестирование. Свою роль играет и нехватка квалифицированных специалистов по безопасности приложений. Часть выявленного роста в AppSec Solutions объясняют и тем, что сами методы анализа стали глубже: то, что раньше не детектировалось, теперь попадает в отчёты.
В компании прогнозируют, что в 2026 году число уязвимостей продолжит расти — из-за всё большего количества сторонних SDK, облачных интеграций и ИИ-кода. Переломить тенденцию, по мнению экспертов, можно лишь переходом от разовых проверок к системному контролю безопасности на всех этапах разработки: управлению ключами, проверке сторонних компонентов и защите среды исполнения.
