Эксперты AppSec Solutions обнаружили в популярных мобильных приложениях российских разработчиков 48,8 тысячи уязвимостей за 2025 год. Это на 63% больше, чем годом ранее, когда было выявлено 29,9 тысячи проблем. Исследование охватило более 1,2 тысячи Android-приложений, которые проверяли методом «чёрного ящика», то есть без доступа к исходному коду.
Главный вывод исследования выглядит тревожно: у 84% приложений нашли уязвимости критического или высокого уровня. При этом число только критических угроз превысило 19 тысяч. Это означает, что проблема уже не выглядит единичной ошибкой отдельных команд разработки. Речь идёт о массовой слабости мобильной безопасности, которая затрагивает разные категории приложений и может напрямую влиять на данные пользователей.
Больше всего проблем обнаружили в играх, стриминговых сервисах, финансовых и бизнес-приложениях, а также в приложениях СМИ. Особенно заметна ситуация в финансовом секторе: за три года количество критических уязвимостей там выросло почти в десять раз и достигло 1921 случая в 2025 году. Для банковских и финансовых сервисов это особенно чувствительно, потому что такие приложения работают с деньгами, персональными данными, токенами, платёжными операциями и доступом к аккаунтам.
Одной из самых распространённых проблем стало небезопасное хранение токенов, ключей и пользовательских данных. Такие уязвимости нашли у 75% приложений. Это опасно тем, что злоумышленники при определённых условиях могут получить доступ к конфиденциальной информации, внутренним механизмам авторизации или чувствительным данным пользователя. Для мобильного приложения это одна из ключевых зон риска, потому что смартфон давно стал личным центром финансов, общения и рабочих сервисов.
Одной из новых причин роста уязвимостей эксперты называют использование кода, созданного искусственным интеллектом. Генеративные модели действительно ускоряют разработку, помогают писать типовые фрагменты, подсказывают решения и экономят время команды. Но проблема в том, что ИИ не гарантирует безопасность кода. Он может воспроизводить устаревшие подходы, копировать небезопасные шаблоны и предлагать решения, которые выглядят рабочими, но содержат слабые места.
Отдельная опасность заключается в том, что ИИ-код часто воспринимается как уже готовый результат. Разработчик может быстро вставить сгенерированный фрагмент в проект и не проверить его так же тщательно, как собственный код. В итоге скорость растёт, но контроль качества может снижаться. Если компания использует ИИ без обязательного аудита, тестирования и правил безопасной разработки, инструмент ускорения превращается в дополнительный источник риска.
По данным участников рынка, популярные языковые модели могут пропускать 40–50% уязвимостей в коде. Это важный сигнал для компаний, которые рассчитывают на ИИ не только как на помощника программиста, но и как на инструмент проверки безопасности. Модель может найти часть очевидных ошибок, но она не заменяет полноценный AppSec-процесс, ручную экспертизу, анализ архитектуры, проверку сторонних библиотек и тестирование приложения в реальных условиях.
Рост числа уязвимостей связан не только с ИИ. Современные мобильные приложения становятся всё сложнее. В них добавляют платежи, биометрию, чаты поддержки, персонализацию, аналитику, рекламные модули, облачные интеграции и сторонние SDK. Чем больше компонентов используется внутри приложения, тем больше потенциальных точек риска. Особенно это важно, когда сторонний код подключается быстро, а времени на глубокую проверку не хватает.
Сжатые сроки разработки тоже усиливают проблему. Команды стараются быстрее выпускать новые функции, реагировать на конкурентов, закрывать требования бизнеса и обновлять приложения под запросы пользователей. Но безопасность часто страдает, если проверка проводится в конце разработки или воспринимается как формальность перед релизом. При таком подходе уязвимости накапливаются, а исправлять их становится всё дороже и сложнее.
Эксперты также отмечают, что часть роста связана с улучшением самих методов анализа. То, что раньше могло оставаться незамеченным, теперь чаще попадает в отчёты. Это важная оговорка: увеличение числа найденных уязвимостей означает не только ухудшение качества приложений, но и более глубокую проверку. Однако даже с учётом этого фактора масштаб проблемы остаётся серьёзным.
В 2026 году специалисты ожидают дальнейшего роста числа уязвимостей. Причины остаются теми же: больше сторонних SDK, больше облачных интеграций, активнее использование ИИ-кода, усложнение мобильных приложений и нехватка квалифицированных специалистов по безопасности. Если компании не изменят подход, приложения будут становиться функциональнее, но одновременно уязвимее.
Главный вывод из исследования заключается в том, что безопасность мобильных приложений нельзя оставлять на последний этап разработки. Нужен системный подход: проверка кода, анализ сторонних компонентов, защита ключей и токенов, контроль хранения данных, тестирование среды исполнения, регулярный аудит и понятные правила использования ИИ-инструментов. ИИ может помогать разработке, но не должен становиться оправданием для отказа от профессиональной проверки.