Яна ПоддубчакВ исследовании рассматривали приложения Делимобиль, Карусель, Яндекс.Драйв, Anytime, BelkaCar, Car4You, CAR5, Carenda, Carlion, Colesa.com, EasyRide, LifCar, MatreshCar, Rent-a-Ride, RENTMEE и TimCar. Исследование проводилось с помощью собственной технологии, использующей комбинацию различных типов анализа кода и способной проверять уровень защищенности приложений без доступа к их исходному коду.
Android показал себя лучше, чем iOS. Лидирующее место по защищенности среди Android-приложений занимает Яндекс.Драйв, у которого отсутствуют известные критические уязвимости, а уязвимостей среднего уровня на порядок меньше, чем у конкурентов. Соответственно, приложение Яндекс.Драйв не только безопасно для данных пользователей, но и устойчиво к атакам.
Большая часть приложений каршеринга на Android уязвима к атакам, треть — небезопасно хранит конфеденциальные данные.
Приложения на iOS в целом небезопаснее аналогов на Android. Первое место здесь разделили приложения Carenda, Car4You, EasyRide, LifCar и Карусель. В целом для iOS-версий характерны слабый алгоритм шифрования, использование буфера обмена, небезопасная аутентификация, использование незащищенного протокола HTTP и небезопасное хранение конфиденциальных данных.
Руководитель направления Solar inCode компании Solar Security Даниил Чернов пояснил, что стало стимулом к проведению исследования:
«Для пользователя основные риски связаны с возможным похищением аккаунта. В этом случае злоумышленник сможет свободно распоряжаться автомобилем, который в этот момент якобы использует другой человек. Очевидно, что это открывает широкие возможности для различных злоупотреблений и правонарушений, поэтому мы решили проверить, насколько хорошо защищены мобильные приложения для каршеринга»