Путь заказан: в популярных приложениях такси найдены уязвимости
Наиболее популярные приложения для заказа такси потенциально могут стать причиной утечки персональных данных, включая сведения банковских карт. К такому выводу пришли эксперты Роскачества в своем исследовании, с которым ознакомились «Известия». Кроме того, почти половина приложений агрегаторов неустойчива к DDoS-атакам, что может привести к блокировке сервиса. Объем рынка таксомоторных перевозок в России составляет более 570 млрд рублей, треть заказов делается через приложения. Поэтому потенциальный ущерб также может исчисляться миллиардами рублей. В сервисах такси сказали «Известиям», что используют защищенный протокол передачи данных, вся информация хранится в зашифрованном виде, а случаев взлома аккаунтов не фиксировалось. Но эксперты всё же советуют не заказывать такси, подключившись к открытой Wi-Fi-сети, либо установить на смартфон VPN-клиент.
«Дыры» в безопасности
Роскачество проверило на безопасность данных наиболее популярные приложения для заказа такси. У программ для устройств, работающих на операционной системе Android, средний балл составил 4,15 из пяти возможных, для iOS — 3,82, сказано в исследовании, с которым ознакомились «Известия».
Тестированию подверглись «Яндекс.Такси», Uber Russia, Maxim, Gett, «Ситимобил», а также Rutaxi, «Везет» и Fasten. Оценка проводилась по семи параметрам. Среди них — наличие возможных уязвимостей (при помощи программного обеспечения Solar appScreener), вредоносных программ, а также безопасность передачи и хранения персональных и платежных данных. По каждому из параметров присваивался определенный балл.
В результате тестирования были получены достаточно высокие показатели, отмечается в исследовании. В частности, в приложениях не обнаружили никаких вирусов, а все персональные и платежные данные хранились в зашифрованном виде. Однако обнаружились и «дыры», которые чреваты неприятными последствиями для пользователей.
«Проверка показала, что в приложениях имеется ряд потенциальных уязвимостей. Наиболее часто встречающиеся из них –– слабые алгоритмы хеширования и шифрования, небезопасная реализация SSL (криптографический протокол для безопасной связи. –– «Известия»)», –– говорится в исследовании.
Есть риск получения злоумышленниками персональных и платежных данных, которые пользователь добровольно вносит в приложение.
–– В данном случае речь идет о взаимодействии телефона с серверами, которые отвечают за работу системы заказа такси. Опасно это тем, что злоумышленник может вклиниться в канал передачи данных и похитить их –– например, логин и пароль от приложения или сведения банковской карты, –– пояснил антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев.
По его словам, хакеру проще перехватить данные жертвы, когда они находятся в одной сети — например, подключены к открытому Wi-Fi в кафе или метро. В этом случае злоумышленник может переключить трафик мобильного телефона на себя, проанализировать его и далее направить на сервер. Жертва, скорее всего, не заметит атаки, а конфиденциальные сведения окажутся у мошенника. Делается это с помощью так называемого DNS-спуфинга (одна из форм взлома компьютерных сетей). Приложение вместо адреса сервера получает подложный адрес и пытается к нему подключиться.
Другой вариант –– создание виртуальной сотовой «вышки», к которой подключается сотовый телефон. Это очень дорогой способ, но он позволяет перехватить все данные, вплоть до телефонных разговоров, добавил Виктор Чебышев.
Удаленная блокировка
Более половины протестированных приложений такси на базе Android оказались уязвимы к DNS-спуфингу и DoS-атакам, сообщается в исследовании Роскачества.
–– Атаки DoS/DDoS несут для пользователей риск замедления работы приложения или отказа в обслуживании. Иными словами, клиенты просто не смогут воспользоваться сервисом, –– сказал «Известиям» руководитель Центра цифровой экспертизы Роскачества Антон Куканов. DDoS-атака, как правило, проводится на серверы компании и угрожает убытками вследствие сбоя в работе приложения.
В исследовании Роскачества также говорится, что для приложений для Apple «характерны слабый алгоритм шифрования данных, использование буфера обмена и небезопасная аутентификация (процедура проверки данных пользователя)».
Средний балл приложений для заказа такси на базе Android по критерию «Наличие уязвимостей» (возможности для хакерских атак) составил 2,56, для iOS — 0,74. Показатель выше 2,2 для приложения на Android считается достаточно высоким. Для операционной системы от Apple оценки, как правило, существенно ниже.
–– Дело в том, что платформа iOS сама по себе более защищенная. Поэтому разработчики приложений для Apple меньше заботятся о защищенности своих продуктов, –– пояснил Антон Куканов.
Накрылись VPN
Количество такси в России в 2018 году, по данным исследования Digital Vision, превысило 466 тыс. машин. На постоянной основе таксистами в прошлом году работали 584 тыс. человек, еще 120 тыс. –– временно подрабатывали. За 10 лет этот показатель вырос на 300 тыс., а объем рынка –– в 2,5 раза, превысив 570 млрд рублей. Аналитический центр при правительстве ранее оценивал долю агрегаторов на рынке таксомоторных перевозок России примерно в 33% (в Москве этот показатель существенно выше). Таким образом, хакерские атаки на пользователей приложений могут нанести ущерб на миллиарды рублей.
В сервисе такси «Максим» заявили «Известиям», что в приложениях Maxim и Taxsee Driver уязвимостей не выявлено. Там подчеркнули, что сервис использует защищенный протокол передачи данных, вход происходит «после двухфакторной аутентификации». В «Ситимобил» подчеркнули, что защита данных клиентов –– приоритет для компании и случаев взлома аккаунтов не фиксировалось. В «Яндекс.Такси» подчеркнули, что все приложения прошли независимый аудит, в том числе российский и международный контроль безопасности. Представитель такси «Везет» (объединяет бренды «Везет», «Сатурн», «Лидер», Red Taxi, Rutaxi, Fasten) сказала, что вся информация хранится в зашифрованном виде и передается по шифрованным протоколам. В Gett на запрос не ответили.
Наиболее эффективный способ устранить риски утечки данных при заказе такси, по словам Виктора Чебышева, –– не пользоваться в этот момент публичной точкой Wi-Fi. Лучше выходить в Сеть с гаджета, используя мобильный интернет.
–– Более надежный способ –– скачать VPN-клиент и подключаться к Сети через VPN, что обеспечит шифрование всего трафика с телефона, –– отметил он.
Эксперт добавил, что для устройств на базе Android самые распространенные угрозы связаны с заражением вирусами, похищающими личные данные из разных приложений (включая заказ такси). И от них может защитить антивирусное ПО и соблюдение мер предосторожности –– не скачивать приложения из неофициальных источников, не переходить по подозрительным ссылкам в мессенджерах и почте.
Гендиректор компании Zecurion (разработчик систем защиты информации) Алексей Раевский подчеркнул в разговоре с «Известиями», что похитить данные карты непросто.
–– Любая организация, размещающая форму для ввода данных банковской карты, должна получить сертификат соответствия международному стандарту безопасности данных платежных карт PCI DSS. Там достаточно жесткие требования, –– пояснил он.
Некоторым компаниям, отметил эксперт, аудит на соответствие этим требованиям приходится проводить каждые полгода.
Источник: Известия