Безопасность мобильных приложений и веб-сервисов: риски
В мобильной безопасности снова всплыл неприятный, но полезный тезис: «не банк» — не индульгенция.
Илья Рябов, Обозреватель мобильного рынка и охотник за мелким шрифтом·обновлено 09 июля 2026 г.

Мобильное приложение — не магический сейф в кармане
В разборе на Хабре автор прямо говорит: веб и мобильные устройства опасны по-разному. И вот это «по-разному» важнее, чем вечный спор, что безопаснее — браузер или приложение.
Перевод с языка безопасников на человеческий: если приложение стоит на телефоне, это еще не значит, что оно хранит данные аккуратно. В материале перечислены знакомые болячки: токены аутентификации в SharedPreferences, слабые настройки сессий, открытые хранилища, Firebase без правил доступа, бэкэнд, который верит всему, что прислал клиент. Последнее особенно вкусное. Это когда сервер делает вид, что пользовательское приложение — честный кассир, а не клиент, который можно разобрать, подменить и заставить отправлять что угодно.
Для обычного пользователя тут простой вывод. Мобильное приложение оператора, банка, доставки или корпоративного сервиса — это не «безопаснее сайта» по умолчанию. Оно может быть удобнее. Может лучше работать с пушами и биометрией. Но если разработчики сложили ключи под коврик, никакая иконка на домашнем экране не спасает.
Веб ломается старыми граблями, мобильные — своими
В источнике отдельно упоминаются инъекции кода, сбои аутентификации, криптографические ошибки и нарушения контроля доступа. Проблемы старые, почти музейные, но живут в проде бодрее многих стартапов.
Особенно показательно с контролем доступа: по данным OWASP, приведенным в материале, такие проблемы встречаются более чем в 90% протестированных приложений. Не надо романтизировать. Это не обязательно киношный взлом с капюшоном и зеленым терминалом. Часто это банальная дырка: один пользователь может получить то, что должен видеть другой, потому что сервер плохо проверяет права.
С мобильными приложениями картина не чище. По данным, на которые ссылается автор материала, большинство мобильных приложений содержат хотя бы одну уязвимость из мобильного Top 10 OWASP. Среди частых проблем — небезопасное локальное хранилище. То есть приложение может держать важные штуки прямо на устройстве так, будто телефон никогда не теряется, не рутуется, не попадает в сервис и не живет с десятком сомнительных APK рядом.
Я бы здесь смотрел не на маркетинговую фразу «мы заботимся о безопасности», а на поведение сервиса. Есть ли многофакторная проверка на критичных действиях. Не живет ли сессия подозрительно вечно. Не просит ли приложение лишние доступы. Не предлагает ли корпоративный сервис поставить непонятный профиль управления без объяснения, что именно он сможет делать.
Корпоративный киоск: удобно админу, тесно пользователю
На этом фоне обновление «Аврора Центра» до версии 5.6.0 выглядит не просто как очередной релиз для админов. В платформе развили режим киоска: устройство можно ограничить одной рабочей задачей, чтобы пользователь не уходил в посторонние приложения и настройки.
Для устройств на ОС Аврора 5.2.0 и выше такой режим появился впервые: администратор задает белый список приложений и настраивает автозапуск. Для Android добавлены два сценария моно-киоска. Один открывает веб-ресурс во весь экран с ограничением переходов по белому или черному списку и управлением навигацией. Второй разворачивает одно нативное приложение и блокирует выход в интерфейс ОС; выйти можно только по коду.
Перевод: корпоративный смартфон все меньше похож на ваш личный телефон и все больше — на терминал для конкретной операции. Для склада, курьера, стойки регистрации или полевого сотрудника это логично. Меньше хаоса, меньше «я случайно удалил», меньше риска поставить мусорное приложение. Но пользователь должен понимать цену: устройством управляет компания, а не он.
В релизе также упомянуты удаленная перезагрузка, расширение интеграции с каталогами, поддержка Android 15, сбор логов Logcat для Android-устройств через оперативное управление и проверка файлов и пакетов по контрольной сумме. Это уже не про красивые кнопки, а про контроль парка устройств. Хороший контроль снижает бардак. Плохой контроль превращается в тихий надзор. Разница — в политике компании и прозрачности для сотрудника.
Отдельно в ленте прошло сообщение, что «Билайн» обновил сеть мобильной связи на ЦКАДе. Деталей в доступном фрагменте нет, поэтому выводы про скорость, покрытие и качество связи я бы не рисовал. В таких новостях всегда ждем конкретики: где именно обновили, что изменилось для абонента и можно ли это почувствовать без пресс-релиза.
Главная мысль тут простая и неприятная. Безопасность сегодня ломается не только там, где «большие деньги». Она ломается в обычных приложениях, корпоративных смартфонах, веб-кабинетах и сервисах, куда мы каждый день скармливаем номера телефонов, токены, заявки и документы. Поэтому я бы проверял не обещания, а мелкий шрифт: доступы, сессии, управление устройством и то, кто на самом деле держит ключи от вашего кармана.