Каршеринговые приложения провалили проверку

31.07.2018

Кибербезопасность сервисов оставляет желать лучшего

АГН «Москва»/Антон Кардашов
АГН «Москва»/Антон Кардашов

«Лаборатория Касперского» изучила 13 приложений для каршеринга и не обнаружила ни одного безопасного сервиса. Во всех из них специалисты выявили ряд киберугроз. Они позволяют мошенникам ездить на автомобиле за чужой счёт, угонять транспортное средство, разбирать его на запчасти или отслеживать передвижения пользователя.

Кроме того, аккаунты юзеров уже выставляются на продажу. Эта услуга, по данным экспертов, особо популярна среди тех, у кого нет водительского удостоверения или кому службы безопасности приложений отказали в регистрации. 

Атакуют со всех фронтов

«Лаборатория Касперского» обозначила слабые стороны приложений. Например, в них отсутствуют защиты от атак типа «человек посередине» (когда киберпреступник ставит себя в цепь между двумя общающимися сторонами, чтобы перехватывать их сообщения друг другу) и от обратной разработки, а также методы, которые позволяют обнаружить предоставление устройством прав суперпользователя.

АГН «Москва»/Сергей Киселев
АГН «Москва»/Сергей Киселев

Также лишь часть сервисов обязуют юзеров вводить надёжный пароль. В тех приложениях, где это не требуется, хакеры могут совершить атаку с помощью простого сценария подбора PIN-кода.

Как отметили специалисты, на сегодняшний день большинство приложений не могут предоставить пользователям хорошую защиту от вредоносов.

«Пока мы не выявили случаев изощрённых кибератак на эти сервисы, ценность которых, однако, уже осознают киберпреступники. Существование соответствующих предложений на чёрном рынке демонстрирует, что у разработчиков не так много времени для устранения обнаруженных уязвимостей», — отметил антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев.

Самозащита

В связи с неутешительными результатами эксперты решили дать пользователям несколько полезных советов. Во-первых, не следует оставлять в открытом доступе номера телефонов и адреса электронной почты. Во-вторых, чтобы обезопасить себя от кражи денег, юзерам нужно завести отдельную банковскую карту, предназначенную специально для каршеринга. Перекидывать на неё большие суммы нежелательно. В-третьих, если каршеринговый сервис неожиданно присылает SMS-сообщение с PIN-кодом от аккаунта, то необходимо сразу же сообщить об этом в службу безопасности, не забыв отвязать кредитку от аккаунта. В-четвёртых, требуется своевременно обновлять операционную систему устройств. И последний, но немаловажный пункт — установка проверенного защитного решения на устройство.

Ранее News.ru посвятил отдельный материал замаскированным приложениям в Google Play, которые хакеры использовали для сбора данных банковских карт и онлайнового банкинга.