Российские ИБ-эксперты провели анализ 32 мобильных клиентов для каршеринга. Специалисты выяснили, что большая часть программ для Android и абсолютно все разработки для iOS имеют серьезные проблемы с безопасностью. Как следует из отчета, чаще всего выявленные уязвимости связаны с ненадежным хранением персональных данных, включением в код логинов и паролей по умолчанию, а также применением протокола HTTP для связи с сервером.

Для теста аналитики отобрали мобильные клиенты 16 компаний из Москвы и Санкт-Петербурга:

  • «Делимобиль»
  • «Карусель»
  • «Яндекс.Драйв»
  • Anytime
  • BelkaCar
  • CAR4YOU
  • CAR5
  • Carenda
  • Carlion
  • Colesa
  • EASY RIDE
  • Lifcar
  • MatreshCar
  • Rent-a-Ride
  • RENTMEE
  • TimCar

Исследование проводилось без декомпиляции программ, при помощи средств автоматического анализа кода. По результатам сканирования каждой разработки эксперты оценивали уровень ее безопасности по пятибалльной шкале.

Среди приложений для Android лучшие результаты показал мобильный клиент «Яндекс.Драйв». В нем не обнаружено ни одной критической уязвимости и лишь две бреши среднего уровня. Эксперты оценили степень защищенности разработки в 4,2 балла. Программы сервисов Anytime, Lifcar и «Карусель» набрали по 3,3 балла. Тестирование выявило в каждом из них по одной серьезной ошибке и около двух десятков мелких недостатков.

Остальные участники исследования показали невысокий результат, получив в среднем два балла из пяти возможных. Наибольшие проблемы с безопасностью, по мнению экспертов, у программы компании CAR5, набравшей 1,4 балла.

Почти все Android-клиенты содержат в коде учетные данные, которые могут быть использованы злоумышленниками для несанкционированного доступа к аккаунту. Среди других проблем — небезопасное хранение паролей и персональной информации, а также уязвимость перед DoS-атаками и DNS-спуфингом.

Уровень защищенности программ для iOS оказался ниже, чем у Android-клиентов. Ни одно из протестированных приложений не дотянуло до трех баллов, а разработка компании Anytime, замыкающая рейтинг, получила лишь 0,5 балла из 5.

Эксперты отметили, что приложения из App Store нередко используют незащищенный протокол HTTP для обмена данными и хранят конфиденциальную информацию в незашифрованном виде.

Представители каршеринговых компаний, чьи программы подверглись анализу, отметили, что оценивать работу мобильного приложения в отрыве от серверной части и установленного в автомобиле ПО — некорректно. Компании Rent A Ride и RENTMEE заявили, что ни один из их клиентов не стал жертвой киберпреступников.

Тот факт, что злоумышленники пока не обратили внимание на приложения для каршеринга, не должен служить поводом для самоуспокоения, считает эксперт «Лаборатории Касперского» Виктор Чебышев. По мнению специалиста, разработка нацеленного на данные банковских карт трояна — лишь вопрос времени.

Согласно данным отчета «Лаборатории Касперского», россияне чаще, чем жители любой другой страны, подвергаются нападениям банковских троянов. По информации Центробанка РФ, в 2017 году с их помощью с карт граждан было украдено около миллиарда рублей.

Категории: Аналитика, Уязвимости