branding imagebranding image
РБК АВТО
Новости Дмитрий Александров
Подписаться на Telegram-канал

В приложениях каршеринга нашли уязвимости для хакерских атак

В ходе исследования выяснилось, что каршеринг-приложения под iOS защищены хуже, чем их аналоги под Android
Фото: Полина Лаптева
Фото: Полина Лаптева

В мобильных приложениях сервисов каршеринга обнаружены уязвимости, которыми могут воспользоваться хакеры, например для кражи аккаунтов. Соответствующее исследование было проведено компанией Solar Security, являющейся «дочкой» «Ростелекома». Всего ими были проверены 16 приложений для поминутный аренды автомобиля в Москве и Санкт-Петербурге, сообщает пресс-служба фирмы.

«Для пользователя основные риски связаны с возможным похищением аккаунта. В этом случае злоумышленник сможет свободно распоряжаться автомобилем, который в этот момент якобы использует другой человек. Очевидно, что это открывает широкие возможности для различных злоупотреблений и правонарушений », — пояснил представитель Solar Security Даниил Чернов.

По данным компании, каршеринг-приложения под iOS защищены хуже, чем их аналоги под Android. Самые плохие результаты показали BelkaCar, RENTMEE и Anytime. Для iOS-версий приложений характерны такие уязвимости, как слабый алгоритм шифрования, использование буфера обмена и небезопасная аутентификация. Почти во всех рассматриваемых приложениях также обнаружено использование незащищенного протокола HTTP и небезопасное хранение конфиденциальных данных. При этом наиболее защищенными оказались приложения Carenda, CAR4YOU, EasyRide, Карусель и Lifcar.

Что касается приложений Android-приложений то тут рейтинг замыкают Rent-a-Ride, BelkaCar и CAR5. Более половины каршеринг-приложений под Android уязвимы к атакам типа DoS и DNS spoofing. Примерно в трети случаев наблюдается небезопасное хранение конфиденциальных данных, в том числе паролей. Первое же место в рейтинге безопасности занял «Яндекс.Драйв».

Фото: Полина Лаптева Новости 30 мая 2018 Автомобили московского каршеринга оборудуют видеокамерами
Фото: Петр Ковалев / ТАСС, Вячеслав Крылов, Anytime Статьи 16 мая 2018 Хуже, чем такси: почему машины из каршеринга нельзя покупать

Городская система краткосрочной аренды автомобилей была запущена мэром Москвы Сергеем Собяниным в сентябре 2015 года. Для того, чтобы начать пользоваться системой каршеринга, необходимо скачать мобильное приложение и зарегистрироваться в системе. Помимо стандартных персональных данных, приложение попросит фотографии водительского удостоверения и первой страницы паспорта — по этим документам сотрудники компании проверяют благонадежность клиента.

Одобренный пользователь получит SMS-уведомление с приглашением на подписание договора в офис компании, после чего клиент подключится к системе. После этого ему останется только внести в приложение данные карты, с которой потом будут списываться деньги за пользование автомобилями.

В приложениях каршеринга нашли уязвимости для хакерских атак

В приложениях каршеринга нашли уязвимости для хакерских атак