Najnoviji izveštaj Zimperium Global Mobile Threat Report za 2025. godinu otkriva zabrinjavajuće nedostatke u bezbednosti mobilnih aplikacija, posebno fokusirajući se na nesigurne API-je koji postaju sve češće mete sajber napada. Stručnjaci naglašavaju da bezbednost mora početi od same aplikacije, uz jačanje autentifikacije i zaštite API-ja.

Bezbednost mobilnih korisnika širom sveta je na ozbiljnom testu, a istraživanja pokazuju da mnoge aplikacije imaju slabosti u komunikaciji sa serverima, koristeći API-je koji često ostaju nezaštićeni. Posledice su alarmantne: skoro jedna od tri Android aplikacije omogućava curenje osetljivih podataka, dok je više od 50% aplikacija u iOS ekosistemu podložno istim problemima. Napadači koriste ove slabosti kako bi pristupili poverljivim informacijama, a zaštitni sistemi se bore da razlikuju regularne aplikacije od onih koje su kompromitovane.

U gotovo polovini aplikacija na tržištu pronađeni su tzv. „hardkodovani“ podaci, odnosno poverljive informacije poput API ključeva koje su ugrađene direktno u kod. Ove tajne ostaju nezaštićene, što omogućava napadačima da koriste reverzni inženjering kako bi ih došli do njih. Kada preuzmu ove ključeve, sajber kriminalci mogu pristupiti funkcijama aplikacije koje bi trebalo da su dostupne samo originalnim korisnicima, što otvara vrata prevarama i ozbiljnim bezbednosnim incidentima.

Podaci Zimperium-a ukazuju na to da su i sami uređaji često izvor rizika, što je suprotno uvreženom mišljenju da su uređaji sigurni sve dok su aplikacije legitimne. Statistika pokazuje da je jedan od 400 Android uređaja rutovan, što omogućava potpunu kontrolu nad sistemom, dok je jedan od 2500 iOS uređaja jailbreakovan. Takođe, tri od 1000 uređaja su već kompromitovana, što ih čini idealnim metama za dalji sajber napad.

Aplikacije koje obrađuju osetljive informacije, kao što su finansijske i turističke aplikacije, nalaze se na udaru. Prema Zimperium-u, jedna od tri Android aplikacije za finansijske usluge je ranjiva na „man-in-the-middle“ napade, dok je kod iOS aplikacija jedan od pet aplikacija za putovanja izložen sličnim pretnjama. Ovi napadi mogu dovesti do krađe ličnih podataka i brojeva kartica, često bez znanja korisnika.

Stručnjaci upozoravaju da osnovne mere zaštite, poput zaključavanja ekrana i redovnog ažuriranja sistema, nisu dovoljne. Prava zaštita mora biti integrisana u samu aplikaciju. Ključne preporuke za zaštitu mobilnih aplikacija uključuju jačanje API-ja, obfuskaciju koda, sigurno skladištenje podataka i detekciju pretnji u realnom vremenu. Takođe, ističe se važnost atestacije aplikacije, koja potvrđuje da svaki API zahtev dolazi iz autentične i neizmenjene verzije aplikacije.

Ove mere su od suštinskog značaja za očuvanje bezbednosti korisnika i zaštitu njihovih podataka u svetu koji postaje sve više zavistan od mobilnih tehnologija.