84% российских мобильных приложений содержат серьёзные уязвимости

Эксперты по кибербезопасности из компании AppSec Solutions обнаружили в популярных мобильных приложениях российских разработчиков 48,8 тыс. уязвимостей за 2025 год — на 63 % больше, чем годом ранее (29,9 тыс.).

Как пишет «Коммерсантъ», в выборку вошли более 1,2 тыс. программ на Android, которые тестировали методом «чёрного ящика» — без доступа к исходному коду. У 84 % приложений нашлись уязвимости «критического» или «высокого» уровня, а число только критических угроз превысило 19 тыс.

Больше всего проблем выявили в играх, стриминговых платформах, финансовых и бизнес-приложениях, а также в приложениях СМИ. Особенно заметен рост в финансовом секторе: число наиболее опасных уязвимостей там за три года увеличилось почти в десять раз и достигло 1921 случая в 2025 году. Чаще всего встречается небезопасное хранение токенов, ключей и пользовательских данных — уязвимости, открывающие доступ к конфиденциальной информации, нашлись в 75 % приложений.

Одним из новых источников угроз эксперты называют код, сгенерированный искусственным интеллектом. По словам специалиста компании «Газинформсервис» Сергея Полунина, ИИ ускоряет разработку, но безопасный код пишет не всегда: модели обучались на примерах, которые сегодня считаются устаревшими или уязвимыми практиками, и тиражируют эти ошибки. По данным пресс-службы ГК «Солар», популярные языковые модели пропускают от 40 до 50 % уязвимостей в коде.

Сказывается и усложнение самих приложений. Современные банковские программы содержат большой объём стороннего кода — библиотек и компонентов для платежей, биометрии, поддержки, — а сжатые сроки выпуска новых функций оставляют мало времени на тестирование. Свою роль играет и нехватка квалифицированных специалистов по безопасности приложений. Часть выявленного роста в AppSec Solutions объясняют и тем, что сами методы анализа стали глубже: то, что раньше не детектировалось, теперь попадает в отчёты.

В компании прогнозируют, что в 2026 году число уязвимостей продолжит расти — из-за всё большего количества сторонних SDK, облачных интеграций и ИИ-кода. Переломить тенденцию, по мнению экспертов, можно лишь переходом от разовых проверок к системному контролю безопасности на всех этапах разработки: управлению ключами, проверке сторонних компонентов и защите среды исполнения.