«Дочка» «Ростелекома» нашла уязвимости в приложениях каршеринга

Мобильные приложения сервисов каршеринга содержат множество уязвимостей, которые могут позволить хакерам получить доступ к данным пользователей. Об этом говорится в исследовании дочерней компании «Ростелекома» Solar Security, которое есть в распоряжении «Коммерсанта».

Всего Solar Security проверила на наличие уязвимостей 16 мобильных приложений для каршеринга. Исследователи пришли к выводу, что около трети приложений на Android и почти все на iOS небезопасно хранят данные своих пользователей. По их словам, основные угрозы несет похищение аккаунтов пользователей и вывод средств, а также получение информации о местах, которые те посещают.

«Сканирование приложений показало, что чаще всего в них встречаются такие уязвимости, как слабые алгоритмы хеширования, небезопасная реализация SSL, использование незащищенного протокола передачи данных HTTP. Более половины приложений под Android уязвимы к атакам типа DoS и DNS spoofing», – пишет газета. Вопросы у экспертов вызвали случаи небезопасного хранения конфиденциальных данных, в том числе паролей.

Кроме того, почти во всех приложениях под iOS, которые исследовала Solar Security, использовался незащищенный протокол HTTP и небезопасное хранение конфиденциальных данных. В одном случае эксперты нашли уязвимость в технологии аутентификации по отпечатку пальца. Наиболее уязвимы на Android Rent-a-Ride, BelkaCar и Car5, а на iOS – BelkaCar, Rentmee и Anytime, констатирует компания.

Каршеринг – активно развивающийся рынок поминутной аренды автомобилей. К концу 2017 г. число регистраций в таких сервисах достигло 1 млн. Об этом говорил руководитель столичного департамента транспорта и вице-мэр Москвы Максим Ликсутов. Он уточнял, что число поездок за год достигло 5,4 млн.