Специалисты из Центра цифровой экспертизы Роскачества провели тестирование 30 мобильных приложений для вызова такси. Проверка безопасности приложений включала в себя критерии, такие как запрашиваемые разрешения, наличие трекеров активности и защита передачи данных.
Среди протестированных программ 11, к примеру, BiTaksi и Taxsee, интегрируют трекеры от компании Google и несколько трекеров других, менее крупных корпораций. Также в трех из них имеются трекеры от Facebook (деятельность компании Meta Platforms Inc. по реализации социальных сетей Facebook и Instagram признана экстремистской и запрещена на территории РФ).
Семь самых востребованных приложений из AppStore и Google Play, такие как «Яндекс Go», Maxim и «Таксовичкоф», подтвердили высокий уровень безопасности: весь обмен данными шифруется, а запрашиваемые доступы сведены к минимуму и являются оправданными.
В противоположность им, 23 другие программы требуют значительно больший объем доступов, часть из которых могут считаться чрезмерными и необоснованными. Так, «BiBi такси» и «AltoCar» запрашивают возможность изменения или удаления данных с общего накопителя, в то время как «drivee» требует изменения сетевых настроек, а «Bolt» желает контроля над NFC-модулем. Особенно тревожит, что «Такси Анжи» запрашивает доступ к контактам, не обосновывая необходимость таких разрешений.
Наибольшую тревогу у экспертов вызвала группа из десяти приложений, таких как «Такси Инфинити», «Такси Белое», «Такси Пилот», «Мегаполис», работающих в узком сегменте менее крупных городов России. В них обнаружены похожие проблемы с безопасностью, включая передачу определенных данных, таких как ID приложения и устройства, в открытом виде. Это может позволить злоумышленникам перехватить сессию пользователя без дополнительной аутентификации и получить доступ к личным данным, включая маршруты, адреса, способы оплаты и переписку с водителями.
Обнаруженные уязвимости показывают значимую тенденцию: крупные, заслужившие доверие приложения, такие как «Яндекс Go», Maxim и «Таксовичкоф», действительно уделяют внимание защите пользовательских данных и предотвращению утечек информации.
Тем не менее, десять региональных программ, как «Такси Инфинити» и «Такси Белое», имеют существенные проблемы с безопасностью, и схожесть их уязвимостей свидетельствует о том, что, вероятно, они разработаны по одной методологии или при помощи одного конструктора, что повышает риск крупных кибератак.
Кроме того, исследование показало, что приложения из топ-чартов, такие как «DiDi», «TaxiF» и «inDrive», ранее доступные в России, но впоследствии удаленные, до сих пор могут оставаться на устройствах пользователей, создавая потенциальные риски в случае отсутствия обновлений.
Источник: iXBT