Лаборатория Касперского проверила безопасность приложений каршерингов. Все плохо
Компания протестировала 13 каршеринговых приложений.
Компания протестировала 13 каршеринговых приложений.
Лаборатория Касперского провела исследование безопасности приложений каршеринга. Для тестирования были выбраны 13 приложений на Android (каких именно, не сообщается), их проверяли по четырем критериям:
Приложения обмениваются данными с серверами, каждая из сторон должна проверить, можно ли доверять другой стороне. Для этого существуют сертификаты, подтверждающие безопасность, их надо предъявить во время обмена данными.
Читайте также: Безопасность приложений основных игроков рынка каршеринга
Ни одно из приложений не запрашивает этих сертификатов. Если залогиниться через незащищенную сеть Wi-fi, злоумышленники могут перехватить данные пользователей, подменив сертификат.
В половине протестированных приложений пользователи не могут самостоятельно выбрать пароль и логин.
Злоумышленник может узнать номер телефона (например, из соцсетей пользователя) и потом перехватить SMS с пин-кодом. Можно поступить по-другому и подобрать пароль. Эксперты из Лаборатории Касперского считают, что это сделать несложно.
В одним из сервисов для входа требуется ПИН-код из четырех цифр. Это 10 тысяч возможных комбинаций – немного для программы перебора паролей. Во время теста эксперты забросали сервер одного из каршерингов вариантами с запросами кодов. От сервиса должна была последовать какая-то реакция, но ничего не произошло.
Некоторые пользователи самостоятельно взламывают свои устройства, чтобы получить полный контроль над ними. Но есть и злоумышленники, которые делают это без ведома владельцев устройств. На таких смартфонах и планшетах можно внедриться в процесс приложения каршеринга и украсть оттуда данные.
Читайте также: Что не так с безопасностью и приложением Делимобиля
Еще один способ – внедрить вредоносный код в приложение оператора, а потом выложить его в официальный магазин. Пользователи скачают программу и сами будут вводить в нее свои данные.
По результатам тестирования, одно из 13 приложений смогло защитить данные от злоумышленников. Оно не запустилось с измененным кодом, а информация о пользователе (к которой можно получить доступ через root-права) была хорошо зашифрована.
«Защитой от перехвата SMS и поддельных окон авторизации разработчики протестированных приложений не озаботились вообще. Злоумышленник легко выудит логин и пароль пользователя любой из этих программ», – говорится в исследовании.