Специалисты компании AppSec Solution подвели итоги ежегодного исследования безопасности мобильных приложений, в котором участвовали более 1,2 популярных продуктов для платформы Android. Приложения тестировались в режиме без доступа к программному коду, но это не помешало исследователям выявить уязвимости критического или высокого уровня в 84 % продуктов.
Источник изображения: Towfiqu barbhuiya / unsplash.com
Количество только критических уязвимостей составило 19 тыс. Общее количество уязвимостей подскочило на 68 % с 29,9 тыс. в 2024 году до 48,8 тыс. в 2025 году. Больше всего уязвимостей было обнаружено в приложениях, относящихся к категориям «Игры», «Стриминговые платформы», «Финансы», «Приложения для бизнеса» и «СМИ».
Отмечается, что в финансовом секторе количество опасных уязвимостей за последние три года выросло почти в 10 раз и составило 1921 единицу. Такую динамику в AppSec Solution связывают с тем, что банковские приложения интегрируют с другими сервисами, из-за чего увеличивается количество «зашитых» в код бэкдоров и точек небезопасного хранения чувствительных данных. Кроме того, специалисты стали проводить более глубокий анализ, что также способствовало увеличению количества выявляемых проблем.
Что касается типов критических уязвимостей, то больше всего проблем связано с небезопасным хранением токенов, ключей и пользовательских данных. Новым источником угроз также стал искусственный интеллект. «С одной стороны, ИИ ускоряет разработку, с другой — кодовая база растёт и потенциальные ошибки накапливаются. ИИ хорошо справляется с написанием работающего кода, но именно безопасный код он умеет писать не всегда, потому что был обучен на примерах, которые сейчас представляют устаревшие или уязвимые практики разработки», — считает глава группы защиты инфраструктуры IT-решений компании «Газинформсервис» Сергей Полунин.
По данным пресс-службы ГК «Солар», популярные ИИ-модели пропускают от 40 % до 50 % уязвимостей в коде. Нехватка квалифицированных специалистов только усиливает проблему накопления ошибок в коде, включая критические, т.е. способные провоцировать утечку конфиденциальной и личной информации пользователей. По данным компании, подобные уязвимости выявляются в 75 % приложений.
Руководитель продукта AppSec.Sting компании AppSec Solution Никита Пинаев считает, что в 2026 году количество уязвимостей в мобильных приложениях продолжит расти. «Всё больше SDK и облачных интеграций, все больше ИИ-сгенерированного кода, тиражирующего небезопасные паттерны хранения чувствительных данных», — отметил Пинаев. По его мнению, изменить этот тренд можно «только переходом от разовых проверок к системному, риск-ориентированному подходу».