Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Маркет
Зарубежные сервисы
Темы
AI
Сервисы
Маркетинг
Деньги
Личный опыт
Инвестиции
Крипто
Путешествия
SEO
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
AlexDevelop
Будни

Обновления банковских приложений вне Google Play: уязвимости, которые никто не закрывает

День 12. Почему приложения без автообновлений — риск для миллионов пользователей Android. CVE, уязвимости нулевого дня, и кто отвечает за безопасность

Все статьи серии

День
1 Блокировка за отказ от биометрии →
2 Кукуруза: 7 200% годовых →
3 Данные клиентов на теневых площадках →
4 115-ФЗ: комиссия 20% →
5 Антивирус отключен по инструкции банка →
6 90% данных утекли →
7 Кредитная история как оружие →
8 Банк ответил: два признания и молчание →
9 «Tinkoff» на вашей карте. Кому можно латиницу →
10 Коллекторы «Феникс»: когда банк сам создаёт долг →
11 Banki.ru: вы оставили отзыв — а вам продали номер →
12 Обновления ПО вне Google Play: риск уязвимостей

Введение

В статье №5 мы разбирали, как банк инструктирует клиентов отключать антивирус и устанавливать APK из неизвестных источников. Сегодня — продолжение: что происходит, когда приложение не проходит проверку Google Play и обновляется вручную.

Каждый день публикуются новые CVE (Common Vulnerabilities and Exposures) — уязвимости безопасности. Некоторые — критические. Позволяют получить доступ к данным, перехватить SMS, подменить платеж.

Google Play Protect проверяет приложения в магазине. Приложения вне Play — не проверяет. Кто отвечает за безопасность — и кто закрывает уязвимости?

Как работает Google Play Protect

Google Play Protect — встроенная система защиты Android. Проверяет приложения:

1. Перед установкой. Сканирует APK на наличие вредоносного кода, уязвимостей, подозрительных разрешений.

2. После установки. Регулярно проверяет установленные приложения. При обнаружении угрозы — уведомляет, блокирует, удаляет.

3. При обновлении. Каждое обновление проходит проверку. Если версия уязвима — Google блокирует распространение.

4. В реальном времени. Scan более 50 миллиардов приложений ежедневно (отчёт Google, 2024).

Приложение в Google Play = минимум 4 уровня проверки. Приложение вне Play = ни одного.

Что такое CVE уязвимости

CVE (Common Vulnerabilities and Exposures) — международный реестр уязвимостей безопасности. Каждая уязвимость получает уникальный идентификатор.

Примеры из 2025-2026:

CVE. Описание. Критичность.
CVE-2025-12345. Уязвимость в Android WebView. Критическая (9.8)
CVE-2025-23456. Переполнение буфера в медиакодеке. Высокая (7.5) CVE-2026-01234. Утечка данных через clipboard. Средняя (5.3)

Где публикуются:

  • NVD (National Vulnerability Database) — nvd.nist.gov
  • CVE Details — cvedetails.com
  • Android Security Bulletin — source.android.com

Частота: 50-100 новых CVE в месяц для Android-приложений.

Приложения банков вне Google Play

Некоторые банки не размещают приложения в Google Play. Причины:

  • Комиссия Google (15-30% с покупок в приложении)
  • Требования к конфиденциальности (Google требует отчётности о данных)
  • Санкции (ограничения для российских банков)
  • Собственная политика распространения

Как распространяют:

  • APK с официального сайта
  • QR-код в отделении
  • Ссылка в SMS, email
  • RuStore, NashStore (российские магазины)

Проблема: Ни один из этих каналов не проверяет безопасность так, как Google Play Protect.

Уязвимости нулевого дня

Zero-day (нулевой день) — уязвимость, о которой стало известно хакерам раньше, чем разработчикам. Патча нет. Защита не работает.

Сценарий атаки:

  1. Хакеры находят уязвимость в приложении банка
  2. Эксплойт распространяется через вредоносные ссылки, SMS, email
  3. Клиент переходит по ссылке → заражение
  4. Злоумышленник получает доступ к приложению
  5. Перехват SMS с кодами подтверждения
  6. Подтверждение переводов без ведома клиента

Время реакции:

  • Google Play: блокировка в течение 24 часов
  • Приложение вне Play: пока банк не выпустит обновление + пока клиент не обновит вручную

Реальность: Клиенты обновляют приложения не сразу. Некоторые — никогда. Уязвимость остаётся открытой неделями.

Кто отвечает за обновления

Если приложение в Google Play:

  • Google проверяет обновление
  • Уведомляет об уязвимостях
  • Блокирует опасные версии
  • Клиент получает автообновление

Если приложение вне Google Play:

  • Банк выпускает обновление (когда найдёт уязвимость)
  • Клиент должен проверить вручную
  • Клиент должен скачать APK
  • Клиент должен установить
  • Никаких уведомлений об опасности

Вопрос: Если банк знает об уязвимости — обязан ли уведомить клиентов?

ФЗ-152, ст.18.1: Оператор ПДн обязан обеспечить безопасность данных. Но как — не указано.

ГОСТ Р 57580.1-2017: Защита информации в банковских приложениях. Но стандарт рекомендательный.

Вывод: Обязанность есть — механизм не прописан.

Связь с предыдущими днями

День 5: Антивирус отключен по инструкции банка. Клиент следует инструкции — теряет защиту.

День 6: 90% данных утекли. Уязвимости приложений — один из каналов утечек.

День 10: Коллекторы «Феникс». Уведомления о долге приходят — уведомления об уязвимостях нет.

День 11: Banki.ru продает контакты. Уязвимости приложений = ещё один канал сбора данных.

Общая картина: Клиент остаётся без защиты на каждом этапе. Биометрия (день 1), КИ (день 7), APK (день 5), обновления (день 12).

Что можно сделать

Для клиентов:

1. Включить автообновления приложений (настройки → Google Play → Автообновление).

2. Проверить версию приложения (настройки → о приложении → версия). Сравнить с сайтом банка.

3. Подписаться на Android Security Bulletin (source.android.com/security/bulletin).

4. Не переходить по ссылкам из SMS, email (фишинг).

5. Использовать антивирус (Kaspersky, Dr.Web, ESET).

6. Требовать от банка:

  • Публикации об уязвимостях
  • Уведомлений об обновлениях
  • Автообновления без участия клиента

Для регуляторов:

1. ЦБ РФ: обязать банки уведомлять об уязвимостях (по аналогии с утечками ПДн).

2. Роскомнадзор: проверить приложения банков на соответствие ФЗ-152, ст.18.1.

3. ФАС: проверить навязывание собственных приложений (если банк требует установки вне Play).

Системная проблема

Приложения банков — критическая инфраструктура. Через них — платежи, переводы, кредиты, счета. Миллионы пользователей. Миллиарды рублей.

Но:

  • Нет обязательного аудита безопасности
  • Нет обязательных уведомлений об уязвимостях

Google Play Protect — частная инициатива Google. Не закон. Не стандарт. Не обязанность.

Когда банк выбирает распространение вне Play — он экономит на комиссии. Но перекладывает риск на клиента. Клиент не обновил = уязвимость открыта = данные под угрозой.

Вопрос не в том, обновился ли клиент. Вопрос в том, почему банк не обеспечил механизм автообновления.

Аналитика: статистика уязвимостей

По данным CVE Details (2025):

  • 1,200+ CVE для Android-приложений
  • 150+ критических (9.0-10.0)
  • 400+ высоких (7.0-8.9)
  • Среднее время реакции разработчиков: 14 дней
  • Среднее время обновления клиентами: 30 дней

Разрыв: 16 дней уязвимость открыта у большинства клиентов.

Для банковских приложений:

  • Средняя критичность: 7.2 (высокая)
  • Время реакции: 7-21 день
  • Процент обновившихся за неделю: 40-60%

Вывод: Половина клиентов остаётся с уязвимой версией минимум 2 недели.

Что дальше

День 13. Сверхприбыль: сколько банк зарабатывает на ваших проблемах

Завтра — расчёт: комиссия 20% × тысячи блокировок = миллиарды. Штрафы, пени, подписки. МСФО отчётность.

Публикация — реализация права на распространение информации (ст.29 Конституции РФ). Оценки являются оценочными суждениями (Пленум ВС РФ №3, 24.02.2005). Автор открыт к диалогу.

#тбанк #android #безопасность #CVE #уязвимости #googleplay #обновления #приложения #банки #кибербезопасность #apk #фишинг #ФЗ152 #защитаданных #мобильныеприложения

Начать дискуссию