Специалисты компании AppSec Solution провели ежегодное исследование безопасности мобильных приложений для Android, протестировав более 1,2 тыс. популярных продуктов без доступа к исходному коду. В 84 % приложений были выявлены уязвимости критического или высокого уровня, сообщил «Коммерсантъ».
Только критических уязвимостей исследователи насчитали 19 тысяч. Общее количество проблем безопасности подскочило на 68 % по сравнению с 2024 годом — с 29,9 тыс. до 48,8 тыс. в 2025 году. Чаще всего уязвимости обнаруживались в приложениях категорий «Игры», «Стриминговые платформы», «Финансы», «Приложения для бизнеса» и «СМИ».
В финансовом секторе количество опасных уязвимостей за последние три года увеличилось почти в 10 раз, достигнув 1921 единицы. В AppSec Solution связывают такую динамику с тем, что банковские приложения интегрируются с другими сервисами, из-за чего растёт число «зашитых» в код бэкдоров и точек небезопасного хранения чувствительных данных. Также специалисты стали проводить более глубокий анализ, что тоже повлияло на рост выявляемых проблем.
Среди типов критических уязвимостей чаще всего встречалось небезопасное хранение токенов, ключей и пользовательских данных. Новым источником угроз стал искусственный интеллект.
«С одной стороны, ИИ ускоряет разработку, с другой — кодовая база растёт и потенциальные ошибки накапливаются. ИИ хорошо справляется с написанием работающего кода, но именно безопасный код он умеет писать не всегда, потому что был обучен на примерах, которые сейчас представляют устаревшие или уязвимые практики разработки», — считает глава группы защиты инфраструктуры IT-решений компании «Газинформсервис» Сергей Полунин.
По данным пресс-службы ГК «Солар», популярные ИИ-модели пропускают от 40 % до 50 % уязвимостей в коде. Нехватка квалифицированных специалистов только усиливает проблему накопления ошибок в коде, включая критические, которые способны провоцировать утечку конфиденциальной и личной информации пользователей. В компании сообщили, что подобные уязвимости выявляются в 75 % приложений.
Руководитель продукта AppSec.Sting компании AppSec Solution Никита Пинаев считает, что в 2026 году количество уязвимостей в мобильных приложениях продолжит расти. «Всё больше SDK и облачных интеграций, все больше ИИ-сгенерированного кода, тиражирующего небезопасные паттерны хранения чувствительных данных», — отметил Пинаев. По его мнению, изменить этот тренд можно «только переходом от разовых проверок к системному, риск-ориентированному подходу».
Угрозы для пользователей Android становятся всё более изощрёнными — злоумышленники находят новые способы кражи денег прямо из банковских приложений. Интернет-газета «ЖУК» сообщала, что в экосистеме Android обнаружен опасный троян Herodosus, который ворует деньги пользователей напрямую из банковских приложений. Вирус перехватывает SMS-сообщения для двухфакторной аутентификации.