Мобильные приложения сервисов каршеринга могут быть подвержены многочисленным уязвимостям, говорится в исследовании принадлежащей «Ростелекому» Solar Security. Так, по данным исследователей, примерно треть приложений на Android и почти все на iOS небезопасно хранят конфиденциальные данные пользователей. Пока киберпреступники редко атакуют такие приложения, но, учитывая, что в них необходимо указывать данные банковской карты, можно ожидать появления нового вредоносного ПО, считают эксперты.
Сканирование приложений показало, что чаще всего в них встречаются такие уязвимости, как слабые алгоритмы хеширования, небезопасная реализация SSL, использование незащищенного протокола передачи данных HTTP. Более половины приложений под Android уязвимы к атакам типа DoS и DNS spoofing. Примерно в трети случаев наблюдается небезопасное хранение конфиденциальных данных, в том числе паролей. Для iOS-версий приложений характерны слабый алгоритм шифрования, использование буфера обмена и небезопасная аутентификация. Кроме того, почти во всех рассматриваемых приложениях под iOS зафиксировано использование незащищенного протокола HTTP и небезопасное хранение конфиденциальных данных.
В одном случае было обнаружено, что небезопасно реализована аутентификация по отпечатку пальца. Наиболее защищенными приложениями для каршеринга на Android Solar Security считает «Яндекс.Драйв», Anytime, Lifcar, «Карусель» и Carenda, а на iOS — те же Lifcar, «Карусель» и Carenda, а также Car4you и EasyRide. Наиболее уязвимы, по версии компании, на Android Rent-a-Ride, BelkaCar и Car5, а на iOS — BelkaCar, Rentmee и Anytime.
Число регистраций в сервисах краткосрочной аренды автомобиля в Москве к концу 2017 года превысило 1 млн, увеличившись за год почти в четыре раза. Количество поездок за год достигло 5,4 млн., сообщает «КоммерсантЪ». Треть потребителей готова отказаться от владения автомобилем в пользу каршеринговых и мобильных сервисов
В Rentmee считают, что оценку защищенности доступа к сервису нужно проводить в комплексе, учитывая алгоритмы взаимодействия мобильного приложения, серверной части и ПО в автомобиле. Большая часть обнаруженных уязвимостей связана с работой сторонних сервисов и не влияет на безопасность приложения. Приложение Rent-a-Ride не самостоятельно, а выступает лишь дополнительной возможностью доступа к сайту сервиса и не хранит никаких данных пользователей, включая пароли, персональные данные и платежные реквизиты. На данный момент не зафиксировано ни одного подобного троянца, но ситуация может быстро измениться.