Безопасность приложений основных игроков рынка каршеринга

А вы когда-нибудь задумывались о том, насколько безопасно приложение того или иного каршеринга? Если вдруг ваш телефон попадет в руки коварных воришек или пакостных детишек, что они смогут натворить с вашими приложениями аренды авто и что потом за это будет вам? Мне стало интересно, я начал разбираться. А заодно составил список пожеланий к создателям приложений.

Для проверки безопасности я решил выйти из своего аккаунта, и этого сделать мне не удалось. Возможно, это сделано для того, чтобы нельзя было просто так взять и сменить аккаунт. Удаляю приложение, затем заново устанавливаю. Приложение требует войти (данные учетной записи при удалении приложения не сохраняются), ввожу номер телефона, получаю СМС с кодом — стандартный, но не самый безопасный вариант.

Получается, если кто-то завладеет моим телефоном, то он сможет включить приложение, ввести мой номер телефона (определить его, имея устройство в руках, не так уж и сложно) и пароль из СМС и воспользоваться Белкой от моего имени.

В настройках есть галочка «Включить защиту паролем». Эта настройка требует ввести пароль или использовать Touch ID для входа в приложение – вот это уже звучит безопасней.

Опять удаляю приложение, чтобы проверить, останется ли включена защита паролем. Устанавливаю, ввожу номер телефона, СМС-код — и все, нет больше пароля на вход в приложение. Ребята, ну как-так то?

Кстати, при переустановке приложения на iOS пароль для App Store уже вводить не надо, и, следовательно, можно просто воспользоваться чужим аккаунтом, получив доступ к устройству, на котором оно было установлено.

— Добавить при первом входе в приложение (или при начале аренды авто) обязательное селфи. Так мы будем знать, кто установил приложение (чтобы сравнить с фото, предоставленным при регистрации).
— При авторизации запрашивать пароль, который придумал пользователь, а не СМС-код. С собственным паролем можно было бы и войти в свой аккаунт на другом устройстве, когда свой телефон разрядился, например, особенно если добавить при входе в приложение галочку «чужое устройство» — будет и удобно, и безопасно.
— Добавить в настройки возможность двухфакторной аутентификации. Свой пароль + СМС-код.

В приложении Anytime легко и просто можно выйти из аккаунта (меню-личный кабинет-выйти), и это удобно. Вышли – заходим обратно. Номер телефона уже введен (это можно изменить в настройках, убрав галочки «Запомнить номер телефона» и «Оставаться в системе»). Но эти настройки не работают, снял галочки, а приложение пин-код при входе не требует.

Чтобы увидеть запрос пароля, надо принудительно выйти из приложения. Далее при входе необходимо ввести только пин-код, 4 цифры достаточно, но вы можете придумать пин-код хоть из 12 цифр (можно больше, но остальные не влезают на экран). Для остальной работы приложения вводить пароли не надо.

— Починить галочки «Запомнить номер телефона» и «Оставаться в системе».
— Добавить селфи во время первого входа или перед арендой авто в приложении.
— Добавить опцию запроса пароля при входе в приложение и сделать вход в приложение по Touch ID (Face ID).

В приложении Делимобиль есть возможность выйти из своего аккаунта (меню-выйти). Быстро, удобно. При входе в приложение требуется логин и пароль, причем пароль, состоящий из букв с верхним и нижним регистром и цифр. Базара нет, очень безопасно, но, блин, долго. С Touch ID / Face ID было бы не менее безопасно и в сто раз быстрее.

— Добавить селфи во время первого входа или перед арендой авто в приложении.
— Добавить опцию запроса пароля при входе в приложение и сделать вход в приложение по Touch ID /Face ID.

Тут все похоже на Белку, но можно выйти из аккаунта, не удаляя приложение. Для входа требуется ввести номер телефона и пароль из смс из 6 цифр. Кстати, если у тебя толстые пальцы или ты пьян и промахнулся несколько раз при вводе, то аккаунт блокируют на 5 минут.

Допустим, зашли, теперь следующий этап защиты: это селфи-проверка перед арендой авто, но запрос фото происходит не каждый раз, а в каком-то рандомном, мне неведомом порядке. То есть я для теста вышел из аккаунта, зашел заново, притом вводил неправильный пароль, нарвался на 5-минутную блокировку, и проверка не сработала, переустановил приложение – не сработала, перезагрузил телефон – и селфи-проверка так и не сработала.

— Стабильную селфи-проверку после выхода из приложения или перезагрузки телефона.
— При авторизации вводить пароль, который придумал пользователь, а не СМС-код.
— Добавить в настройки возможность двухфакторной аутентификации. Свой пароль + СМС-код (свой пароль должен быть основным).

Вывод неутешительный. Если мой незапароленный телефон попадет в руки к злодеям, то они беспрепятственно покатаются на всех видах каршеринга, в которых я зареган, и если вдруг попадут на штрафы, то доказать свою непричастность к этим деяниям мне будет крайне сложно. Верю в светлое будущее и доработку безопасности приложений. Аминь.

Промокоды автора, которые дадут бонусы вам и помогут сказать автору «спасибо» =)

• промокод BelkaCar — KDFK7358 (300 р. на счет)
• промокод Делимобиль — 79998228080 (400 руб. на счет)
• промокод YouDrive — 3gjgxN (скидка 50% на первую поездку)
• промокод RentMee — ЧР8080 (писать кириллицей — 250 р. на счет)
• промокод TimCar — DMAQR5
• промокод UrentCar — H1OS4Q
• Карта Tinkoff Black (3 мес. бесплатного обслуживания)
• Карта Рокетбанка (500 рублей на счет и бесплатное обслуживание)

Если вы хотите написать в блог каршеровода, свяжитесь с нами по почте. Если вам нужна помощь с блогом, напишите Polly Volkova в нашем телеграм-чате.