У 84% популярных мобильных приложений российских разработчиков обнаружили уязвимости критического и высокого уровня. Это показал анализ более 1200 программ на Android, который провела компания AppSec Solutions, пишет «Коммерсант». Общее число уязвимостей в 2025 году выросло на 63% год к году — до 48,8 тыс., а количество критических составило более 19 тыс. Чаще всего в прошлом году проблемы выявляли в категориях «Игры», «Стриминговые платформы», «Финансы», «Приложения для бизнеса» и «СМИ».
В финансовом секторе количество наиболее опасных уязвимостей за последние три года выросло почти в десять раз — до 1921 случая в 2025-м. Эксперты AppSec Solutions связывают это с тем, что банковские приложения часто интегрируют сторонние сервисы и усложняют функционал, в том числе за счет биометрии, компонентов для проведения платежей и связи с поддержкой. Среди критических уязвимостей лидирует небезопасное хранение токенов, ключей и пользовательских данных.
При этом искусственный интеллект (ИИ) становится новым источником угроз. «ИИ хорошо справляется с написанием работающего кода, но именно безопасный код он умеет писать не всегда, потому что был обучен на примерах, которые сейчас представляют собой устаревшие или уязвимые практики разработки», — пояснил руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин.
Популярные ИИ пропускают от 40% до 50% уязвимостей в коде, следует из данных группы компаний «Солар». В то же время нехватка квалифицированных AppSec-специалистов только усиливает проблему накопления ошибок в коде, включая критичные, которые провоцируют утечку конфиденциальной и личной информации пользователей. По данным компании, уязвимости, которые открывают доступ к такой информации, выявляются в 75% приложений.
В 2026 году число уязвимостей продолжит расти, считает представитель AppSec Solutions Никита Пинаев. «Все больше сторонних SDK и облачных интеграций, все больше ИИ-сгенерированного кода, тиражирующего небезопасные паттерны хранения чувствительных данных», — пояснил он. По мнению эксперта, переломить тренд можно «только переходом от разовых проверок к системному, риск-ориентированному подходу» при разработке и запуске приложений.
