Эксперты «Лаборатории Касперского» оценили безопасность 13 мобильных приложений для каршеринга. Все изученные сервисы оказались уязвимы перед несколькими типами атак, позволяющих злоумышленникам перехватывать учетные данные и пользоваться услугами аренды от чужого имени.

Поводом для проведения исследования стал рост популярности каршеринга, в результате чего интерес к сервису стали проявлять злоумышленники. Одна из самых распространенных угроз для клиентов — угон аккаунта. В частности, преступники крадут учетные данные для последующей продажи на подпольных площадках.

Цена похищенных сведений варьируется от 1500 до 5000 рублей. Основные клиенты подобных торговцев — пользователи, которые были заблокированы в том или ином сервисе, и несовершеннолетние граждане без водительских прав.

Кроме того, арендованные автомобили нередко разбирают на запчасти и продают. В этом случае использование чужого аккаунта позволяет угонщикам замести следы. Наконец, взломав учетную запись, можно шпионить за жертвой, красть вещи из салона машины или совершать другие противоправные действия.

Аналитики «Лаборатории Касперского» проверили защиту приложений от некоторых распространенных видов атак. Первый тест был посвящен защите от реверс-инжиниринга. Эта техника позволяет взломщикам перехватить трафик между программой и управляющим сервером, а также получить доступ к системным данным. Исследователям удалось применить этот метод в 12 продуктах из 13.

Далее специалисты изучили механизмы защиты учетных данных. Многие приложения не позволяют выбрать произвольный логин, предлагая авторизоваться по телефону. Узнать его несложно, в том числе потому, что пользователи зачастую сами указывают свой номер в социальных сетях.

Зная номер телефона, преступники способны перехватить и приходящий на него код авторизации. Это можно сделать через уязвимость протокола SS7 или с помощью виртуальной SIM-карты. Кроме того, разработчики нередко используют в качестве пароля слабые комбинации. В результате доступ к конфиденциальным данным можно получить с помощью брутфорс-атаки.

Мошенники также могут узнать пароль с помощью поддельных полей ввода, которые всплывают поверх настоящего окна — такие элементы скрытно перехватывают введенную информацию. Исследователи предупреждают, что особая опасность грозит владельцам смартфонов под управлением устаревшей ОС Android — последние версии получили защиту от нежелательного доступа к пользовательским данным.

Авторы отчета заключают, что разработчики каршеринговых сервисов плохо знакомы с существующими мобильными угрозами. Это проявляется как в вопросах дизайна, так и на инфраструктурном уровне. При этом в разных приложениях встречаются одни и те же ошибки, поскольку программисты нередко копируют фрагменты кода целиком.

«Начать [борьбу с уязвимостями] можно с ввода уведомлений о подозрительной активности, — советуют аналитики «Лаборатории Касперского» программистам. — Сейчас только один сервис сообщает клиентам о входе в аккаунт с нового устройства. Блокируйте возможность реверс-инжиниринга, отслеживайте посторонние изменения в коде, особенно на телефонах с root-доступом, не ограничивайте пользователей в выборе логина и не позволяйте создавать слабые пароли».

Клиентам служб аренды автомобилей специалисты советуют завести для расчетов отдельную карту, чтобы не рисковать большими суммами. Также рекомендуется сообщать создателям приложения о подозрительных СМС от лица сервиса и использовать антивирусные средства, которые не позволяют перехватывать сообщения.

Категории: Аналитика, Главное, Уязвимости