Безопасны ли приложения каршеринга? - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

Безопасны ли приложения каршеринга?

А зачем вообще угонять аккаунт в каршеринге?

Ответ очевиден — чтобы его продать. Причем за неплохие деньги: угнанные учетные записи в соцсетях и взломанные емейлы стоят копейки, а вот цены на краденые аккаунты в системах каршеринга достаточно высоки — от 18 долл.

Продажа взломанных аккаунтов в различных сервисах каршеринга и расценки на них

Кто же будет их покупать? Например, любители прокатиться с ветерком за чужой счет. Оплачивать штрафы и потенциальный ущерб, не говоря уже о самой стоимости поездки, придется законному владельцу аккаунта. Конечно, веселье может быстро кончиться, если пользователь внимательно следит за историей поездок. Но если повезет, угон обнаружится не сразу.

Другая категория потенциальных покупателей — те, кому в сервисы каршеринга вход заказан — молодые люди, не достигшие 21 года, лица без достаточного стажа за рулем или вообще без водительских прав. Наконец, те, кого в сервисах каршеринга уже забанили за многочисленные нарушения.

Дельцы в красках расписывают перед потенциальными клиентами все преимущества своего товара. Например, взяв в прокат машину под чужим аккаунтом, можно натворить бед и не понести за это ответственность. Все ДТП и причиненный автомобилю урон скорее всего лягут на плечи жертвы взлома. Как вариант, машину можно отогнать подальше от любопытных глаз и там быстренько распилить на запчасти.

Краш-тесты во сне и наяву

У каршеринга есть важное отличие от других сервисов: если ваш аккаунт взломают, вы можете не только расстаться с той или иной суммой сразу, но еще и должны останетесь. Сервису — за ущерб, причиненный автомобилю, и государству — штрафы за те нарушения, которых вы не совершали. Если сумма будет приличная — то недалеко и до судебных приставов, запрета выезда за границу и прочих радостей.

Но ведь по идее, разработчики приложений тоже это понимают, а потому стоят на страже клиентов и их данных и все как следует защищают? К сожалению, с этим все не так здорово, как хотелось бы. Наши эксперты изучили Android-приложения 13 сервисов каршеринга. Приложения проверялись по четырем возможным направлениям атаки:

  • Перехват данных, которыми приложение обменивается с сервером.
  • Подбор автоматически выданных паролей.
  • Перекрытие интерфейса приложения фальшивым окном.
  • Запуск на рутованных устройствах и внедрение вредоносного кода.

Перехват данных aka «атака посредника»

Обмен данными между приложением и сервером выглядит как сделка на фондовом рынке: каждая сторона проверяет, можно ли доверять собеседнику и доказывает, что у нее тоже нет скрытых мотивов. В частности, сервер должен предъявлять сертификат, подтверждающий его безопасность.

Однако наши эксперты неприятно удивились, когда узнали, что ни одно из приложений не утруждает себя проверкой этих сертификатов. Подменив сертификат, можно перехватить те данные, которыми каршеринговые приложения обмениваются с серверами — и выудить из них логин и пароль. Например, риск угона аккаунта существует, если пользоваться каршеринговым приложением в незащищенной Wi-Fi сети.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus