Приложения каршеринга уязвимы для хакерских атак

Компания Solar Security опубликовала рейтинг безопасности каршеринговых приложений.

Solar Security, принадлежащая «Ростелекому», проверила на наличие уязвимостей 16 мобильных приложений для каршеринга, работающих в Москве и Санкт-Петербурге. Анализ показал, что треть приложений на Android и практически все на iOS небезопасно хранят конфиденциальные данные пользователей. Выходит, что при работе с такими приложениями существуют риски похищения аккаунта, а также кражи средств с банковских карт, которые привязаны к профилям пользователей.

По данным Solar Security, в каршеринговых приложениях чаще всего встречаются такие уязвимости, как слабые алгоритмы хеширования, небезопасная реализация SSL, использование незащищённого протокола передачи данных HTTP. Более половины приложений на платформе Android уязвимы к атакам типа DoS и DNS spoofing. Для iOS-версий приложений свойственен слабый алгоритм шифрования, использование буфера обмена и небезопасная аутентификация.

Наиболее защищёнными приложениями для каршеринга на Android, по результатам проверки Solar Security, являются «Яндекс. Драйв», Anytime, Lifcar, «Карусель» и Carenda, а на iOS — вновь Lifcar, «Карусель» и Carenda, а также Car4you и EasyRide. Самыми уязвимыми оказались приложения Rent-a-Ride, BelkaCar и Car5 (на Android), и BelkaCar, Rentmee и Anytime (на iOS).

Между тем, по словам эксперта «Лаборатории Касперского» Виктора Чебышева, пока не зафиксировано ни одного вредоносного ПО, атакующего приложения для каршеринга. Однако ситуация может стремительно измениться, считает он: могут появиться «троянцы», крадущие учётные данные таких приложений, которые можно перепродать на чёрном рынке. А так как для сервиса нужно прикрепить данные кредитной карты, такой сценарий весьма вероятен, считает Чебышев.

Понравилась ли Вам статья?