В приложениях каршеринга нашли лазейки для хакеров
Мобильные приложения сервисов поминутной аренды автомобилей могут быть подвержены многочисленным уязвимостям.
Компания Solar Security (принадлежит «Ростелекому») проанализировала 16 мобильных приложений для каршеринга, работающих в Москве и Санкт-Петербурге, на наличие уязвимостей и составила рейтинг их безопасности, пишет «Коммерсант». Так, по данным исследователей, примерно треть приложений на Android и почти все на iOS небезопасно хранят конфиденциальные данные пользователей. Основные риски связаны с возможным похищением аккаунта, констатируют исследователи.
Сканирование приложений показало, что чаще всего в них встречаются такие уязвимости, как слабые алгоритмы хеширования, небезопасная реализация SSL, использование незащищенного протокола передачи данных HTTP. Более половины приложений под Android уязвимы к атакам типа DoS и DNS spoofing. Для iOS-версий приложений характерны слабый алгоритм шифрования, использование буфера обмена и небезопасная аутентификация. В одном случае было обнаружено, что небезопасно реализована аутентификация по отпечатку пальца.
Наиболее защищенными приложениями для каршеринга на Android Solar Security считает «Яндекс. Драйв», Anytime, Lifcar, «Карусель» и Carenda, а на iOS - те же Lifcar, «Карусель» и Carenda, а также Car4you и EasyRide. Наиболее уязвимы, по версии компании, на Android Rent-a-Ride, BelkaCar и Car5, а на iOS - BelkaCar, Rentmee и Anytime.
Впрочем, по оценке эксперта «Лаборатории Касперского» Виктора Чебышева, нельзя сказать, что киберпреступники сейчас активно создают вредоносное ПО, атакующее приложения для каршеринга. «На данный момент не зафиксировали ни одного подобного троянца», - уточняет он.
Но, ситуация может быстро измениться, считает он: могут появиться троянцы, крадущие учетные данные от таких приложений, которые можно перепродать на черном рынке. Так как для сервиса необходимо прикрепить данные кредитной карты, такой сценарий более чем вероятен, считает Чебышев.