За 2025 год в популярных Android-приложениях отечественных разработчиков нашли 48,8 тыс. уязвимостей. Это на 63% больше показателя 2024 года, когда специалисты зафиксировали 29,9 тыс. проблем. Данные приводит компания AppSec Solutions в своём ежегодном исследовании.
Под анализ попали более 1,2 тыс. популярных программ для Android. Тестирование проводили методом «чёрного ящика» без доступа к исходному коду. Такая методика позволяет оценить защищённость продукта с позиции потенциального злоумышленника, у которого есть только готовое приложение из магазина.
84% проверенных программ содержат уязвимости высокого или критического уровня опасности. Одних только критических проблем эксперты насчитали свыше 19 тыс. Большая часть таких ошибок открывает прямой путь к данным пользователей или к функциям внутри приложения.
Лидерами по числу выявленных проблем стали игры, стриминговые сервисы, финансы, программы для бизнеса и СМИ. У каждой из этих категорий своя специфика, но картина по объёму проблем схожая.
Финансовый сектор вызывает у исследователей отдельную обеспокоенность. За последние три года количество критических уязвимостей в банковских и финансовых приложениях выросло почти в 10 раз и достигло отметки 1921 случай по итогам 2025 года.
В AppSec Solutions объясняют такую динамику активным подключением сторонних сервисов и библиотек. Чем сложнее становится функциональность программы, тем больше появляется потенциальных бэкдоров и небезопасных мест хранения чувствительных сведений. Часть прироста цифр связана и с более глубокими методиками анализа кода, которые применяют исследователи.
Среди распространённых критических проблем первое место занимает небезопасное хранение токенов доступа, ключей шифрования и пользовательских данных прямо внутри устройства. Свою лепту в общую картину вносит применение искусственного интеллекта при разработке программ. Руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин отметил, что ИИ ускоряет создание софта, н одновременно способствует накоплению ошибок в готовых продуктах.
По словам эксперта, языковые модели быстро генерируют рабочий код, но далеко не всегда учитывают требования безопасности. Причина проста — обучение моделей шло на массивах данных с устаревшими или небезопасными практиками разработки. В ГК «Солар» приводят собственные цифры, согласно которым популярные ИИ-модели пропускают от 40% до 50% уязвимостей в программном коде.
Нехватка AppSec-экспертов приводит к тому, что критические ошибки дольше остаются незамеченными и становятся причиной утечек конфиденциальной информации. Рынок труда в этом сегменте перегрет последние несколько лет, а средний срок закрытия вакансии растягивается на многие месяцы.
Уязвимости, способные открыть доступ к чувствительным данным пользователей, присутствуют примерно в 75% проверенных приложений из выборки. Это означает, что три из четырёх программ на смартфоне рядового пользователя могут стать источником утечки.
Сергей Полунин также связывает рост опасных проблем в финансовом секторе с постоянным расширением функциональности мобильных сервисов. Современные банковские программы используют множество сторонних компонентов для проведения платежей, работы с биометрией, взаимодействия со службой поддержки, аналитики поведения клиента и доставки push-уведомлений. Каждый такой модуль становится потенциальной точкой входа для злоумышленника.
Давление на разработчиков оказывает и стремление бизнеса как можно быстрее выводить новые возможности на рынок. Сроки тестирования и проверки безопасности при этом нередко сокращаются. Результат закономерен — вероятность появления критических ошибок в готовых продуктах растёт от релиза к релизу.
