Каршеринговые приложения оказались уязвимы для хакеров

«Врезались в столб? Снесли бабульку и остановку? Не беда! Вся ответственность с вас снимается...» – пример такого рекламного объявления о продаже украденных аккаунтов в каршеринговых приложениях приводится в исследовании «Лаборатории Касперского» о надежности этих сервисов. Проанализировав 13 Android-приложений для каршеринга, в том числе и российских (каких, не называется), аналитики обнаружили, что все они содержат киберугрозы. Воспользовавшись уязвимостью, злоумышленники могут получить доступ к аккаунту пользователя, ездить за его счет, следить за маршрутами передвижения пользователя и даже угонять автомобили, вытекает из исследования. Взлом также может осуществляться для кражи и перепродажи персональных данных.

Угнанный аккаунт может пригодиться тем, у кого нет водительского удостоверения или кому службы безопасности приложений отказали в регистрации. Аккаунты стоят 1500–5000 руб. в зависимости от каршеринговой службы.

Главная причина уязвимости – ошибочная вера разработчиков в то, что приложения невозможно взломать, считает антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев.

Android-приложения не защищены от атак типа «человек посередине» (man-in-the-middle, MITM) – это значит, что пользователь подключается к легитимному сервису, но злоумышленники перехватывают его трафик, собирая логин, пароль, пин-код для авторизации в приложении. Также приложения уязвимы для «обратной разработки» – злоумышленники могут понять, как оно работает, чтобы найти в нем уязвимость и получить доступ к серверной архитектуре и данным. Меньше половины протестированных «Лабораторией» приложений требуют от пользователя придумать надежный пароль, вместо этого они присылают ему короткий четырех- или шестизначный пароль по sms – их можно взломать при помощи перебора. Также приложения не защищены от всплывающих фишинговых окон, крадущих учетные данные пользователя.

У многих сервисов не просто похожие друг на друга приложения – они основаны на одном и том же коде, обнаружили специалисты «Лаборатории», это упрощает задачу злоумышленников. «Лаборатория» пока не выявила изощренных кибератак, оговаривается он, но очевидно, что киберпреступники уже осознают ценность каршеринговых сервисов.

Один из основных способов поиска жертвы – посты в соцсетях об использовании того или иного каршеринга, отмечается в исследовании. Номер телефона многих пользователей можно найти в открытом доступе, а именно он в большинстве случаев является логином для каршеринговых сервисов. Поняв, какой каршеринг использует обладатель номера, можно атаковать и получить пароль, предупреждает Чебышев.

Чтобы избежать атаки, специалисты «Лаборатории» советуют не оставлять в открытом доступе номер телефона и адрес электронной почты; завести для таких сервисов отдельную банковскую карту, а если сервис неожиданно присылает sms-сообщение с пин-кодом от аккаунта, незамедлительно связаться со службой безопасности и отвязать карту от аккаунта.

Возможная защита – использовать, скажем, не пароль (который можно подобрать), а уникальный код, который действует очень короткий промежуток времени, например 5 минут, говорит представитель «Делимобиля». Треки поездок и персональные данные хранятся в обезличенном виде в разных местах, отдельно от аккаунтов пользователей, указывает она.

За время существования YouDrive не подвергался кибератакам, утверждает представитель компании. По его словам, защита приложения постоянно усиливается. Например, YouDrive ввел систему селфи-проверки, говорит представитель компании: «Согласно нашим алгоритмам защиты система запрашивает у пользователя селфи перед поездкой. Кроме того, приложение также запрашивает sms-код для подтверждения аккаунта при авторизации».

Совершить угон тоже сложно – все автомобили оснащены телематическими системами и мы видим все передвижения машин, говорит представитель YouDrive, отмечая, что в его компании достаточно редкие автомобили, запчасти которых гораздо менее востребованы, чем более популярных моделей, которые подвержены угонам. Представители «Яндекса» и Belka Car отказались от комментариев.