Хакерам подали машину. Приложения каршеринга проверили на безопасность

31.05.2018 |

Мобильные приложения сервисов каршеринга могут быть подвержены многочисленным уязвимостям, говорится в исследовании принадлежащей «Ростелекому» Solar Security. Так, по данным исследователей, примерно треть приложений на Android и почти все на iOS небезопасно хранят конфиденциальные данные пользователей. Пока киберпреступники редко атакуют такие приложения, но, учитывая, что в них необходимо указывать данные банковской карты, можно ожидать появления нового вредоносного ПО, считают эксперты.

Компания Solar Security (принадлежит «Ростелекому») проанализировала 16 мобильных приложений для каршеринга, работающих в Москве и Санкт-Петербурге, на наличие уязвимостей и составила рейтинг их безопасности. Основные риски связаны с возможным похищением аккаунта, констатируют исследователи. При этом в среднем приложения для Android оказались защищены лучше, чем их аналоги под iOS. Принято считать, что iOS менее уязвима, чем Android, и дает злоумышленникам меньше возможностей для атаки, в результате разработчики под Android прикладывают больше усилий для обеспечения защищенности приложений, поясняет руководитель направления Solar inCode компании Solar Security Даниил Чернов.

Сканирование приложений показало, что чаще всего в них встречаются такие уязвимости, как слабые алгоритмы хеширования, небезопасная реализация SSL, использование незащищенного протокола передачи данных HTTP. Более половины приложений под Android уязвимы к атакам типа DoS и DNS spoofing. Примерно в трети случаев наблюдается небезопасное хранение конфиденциальных данных, в том числе паролей. Для iOS-версий приложений характерны слабый алгоритм шифрования, использование буфера обмена и небезопасная аутентификация. Кроме того, почти во всех рассматриваемых приложениях под iOS зафиксировано использование незащищенного протокола HTTP и небезопасное хранение конфиденциальных данных.

В одном случае было обнаружено, что небезопасно реализована аутентификация по отпечатку пальца.

Наиболее защищенными приложениями для каршеринга на Android Solar Security считает «Яндекс.Драйв», Anytime, Lifcar, «Карусель» и Carenda, а на iOS — те же Lifcar, «Карусель» и Carenda, а также Car4you и EasyRide.

Наиболее уязвимы, по версии компании, на Android Rent-a-Ride, BelkaCar и Car5, а на iOS — BelkaCar, Rentmee и Anytime.

Число регистраций в сервисах краткосрочной аренды автомобиля в Москве к концу 2017 года превысило 1 млн, увеличившись за год почти в четыре раза, объявлял ранее глава столичного департамента транспорта и вице-мэр Москвы Максим Ликсутов. Количество поездок за год достигло 5,4 млн.

В Rentmee “Ъ” сообщили, что случаев несанкционированного доступа к сервису по причинам, связанным с ПО, у них не было. Там также отметили, что оценку защищенности доступа к сервису нужно проводить в комплексе, учитывая алгоритмы взаимодействия мобильного приложения, серверной части и ПО в автомобиле. Большая часть обнаруженных уязвимостей связана с работой сторонних сервисов и не влияет на безопасность приложения, считает гендиректор Rent-a-Ride Александр Ладыгин. Приложение Rent-a-Ride не самостоятельно, а выступает лишь дополнительной возможностью доступа к сайту сервиса и не хранит никаких данных пользователей, включая пароли, персональные данные и платежные реквизиты, поясняет он. Ни один пользователь за полтора года работы сервиса не стал жертвой злоумышленников, утверждает господин Ладыгин. В Anytime, Car5 и BelkaCar, «Яндекс.Драйве» и «Делимобиле» комментариев не предоставили.

Нельзя сказать, что киберпреступники сейчас активно создают вредоносное ПО, атакующее приложения для каршеринга, согласен антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев. «На данный момент не зафиксировали ни одного подобного троянца»,— уточняет он. Но ситуация может быстро измениться, считает он: могут появиться троянцы, крадущие учетные данные от таких приложений, которые можно перепродать на черном рынке. Так как для сервиса необходимо прикрепить данные кредитной карты, такой сценарий более чем вероятен, считает господин Чебышев.

Кристина Жукова