Компания Solar Security, о приобретении которой недавно объявил телекоммуникационный оператор «Ростелеком», представила результаты первого в России исследования безопасности мобильных приложений для каршеринга.
Напомним, что сервисы каршеринга — краткосрочной аренды автомобилей — сейчас активно развиваются в нашей стране, прежде всего в Москве и Санкт-Петербурге. Для бронирования машин в рамках таких платформ служит приложение для смартфона.
Для подписчиков служб каршеринга основные риски связаны с возможным похищением аккаунта. В этом случае злоумышленник сможет свободно распоряжаться автомобилем, который в этот момент якобы использует другой человек. Кражу аккаунта теоретически можно осуществить через уязвимости и скрытые возможности мобильных приложений.
Эксперты Solar Security проанализировали клиентские программы таких сервисов, как «Делимобиль», «Карусель», «Яндекс.Драйв», Anytime, BelkaCar, CAR4YOU, CAR5, Carenda, Carlion, Colesa.com, EasyRide, Lifcar, MatreshCar, Rent-a-Ride, RENTMEE и TimCar. Все приложения рассматривались в вариантах для операционных систем Android и iOS.
Выяснилось, что среди Android-приложений наилучшую защиту демонстрируют «Яндекс.Драйв», Anytime, Lifcar и «Карусель». Хуже всего защищены приложения Rent-a-Ride, BelkaCar и CAR5. Более половины каршеринг-приложений под Android уязвимы к атакам типа DoS и DNS spoofing. Примерно в трети случаев наблюдается небезопасное хранение конфиденциальных данных, в том числе паролей.
Что касается iOS-версий приложений, то они в целом защищены хуже, чем их аналоги под Android. Самыми безопасными признаны Carenda, CAR4YOU, EasyRide, «Карусель» и Lifcar, а в конце списка оказались RENTMEE и Anytime. Для iOS-версий приложений характерны такие уязвимости, как слабый алгоритм шифрования, использование буфера обмена, небезопасная аутентификация и небезопасное хранение конфиденциальных данных.
Источник: 3DNews
