Исследователи проанализировали 100 общедоступных
мобильных приложений для iOS и Android в сфере здравоохранения.
Исследователи безопасности из компании Interstrust проанализировали 100 общедоступных мобильных
приложений для iOS и Android в сфере здравоохранения по целому ряду категорий,
включая телемедицину, медицинское оборудование, торговлю в сфере здравоохранения
и отслеживание распространения заражений коронавирусной инфекцией (COVID-19) с
целью выявить наиболее опасные угрозы.
Все 100 приложений были проанализированы с
использованием ряда методов статического тестирования безопасности приложений (SAST)
и динамического тестирования безопасности приложений (DAST), основанных на
рекомендациях по безопасности мобильных приложений проекта OWASP.
Криптографические проблемы представляют собой одну из
наиболее распространенных и серьезных угроз — 91% проанализированных приложений
не прошли один или несколько криптографических тестов. Таким образом,
шифрование, используемое в этих медицинских приложениях, может быть легко
взломано киберпреступниками, потенциально раскрывая конфиденциальные данные
пациентов и позволяя злоумышленникам вмешиваться в сообщаемые данные,
отправлять вредоносные команды подключенным медицинским устройствам или иным
образом использовать приложение в злонамеренных целях.
71% протестированных медицинских приложений содержат
хотя бы одну опасную уязвимость. 34% приложений для Android и 28% приложений
для iOS уязвимы к извлечению ключа шифрования.
Большинство приложений мобильного здравоохранения
содержат множество проблем с безопасностью хранения данных. Например, 60%
протестированных Android-приложений хранят информацию в SharedPreferences,
оставляя незашифрованные данные доступными для чтения и редактирования
злоумышленникам и вредоносным приложениям.
Что касается приложений для отслеживания контактов с
больными COVID-19, то 85% программ допускают утечки данных.