ТЕСТИРОВАНИЕ НА УЯЗВИМОСТЬ
Популярные приложения для заказа такси потенциально могут стать причиной утечки персональных данных, включая сведения банковских карт. К такому выводу пришли эксперты Роскачества в своем исследовании на безопасность. Кроме того, почти половина приложений агрегаторов неустойчива к DDoS-атакам, что может привести к блокировке сервиса.
Сервисы заявляют, что используют защищенный протокол передачи данных, вся информация хранится в зашифрованном виде, но эксперты всё же советуют не заказывать такси, через открытые Wi-Fi-сети, либо установить на смартфон VPN-клиент, и подключаться к Сети через него, что обеспечит шифрование всего трафика с телефона. Наиболее эффективный способ устранить риски утечки данных при заказе такси, не пользоваться публичной точкой Wi-Fi, а выходить в Сеть с гаджета, используя мобильный интернет.
Тестированию подверглись Яндекс.Такси, Uber Russia, Maxim, Gett, Ситимобил, Rutaxi, Везет и Fasten. Оценка проводилась по семи параметрам. Среди них — наличие возможных уязвимостей (при помощи программного обеспечения Solar appScreener), вредоносных программ, а также безопасность передачи и хранения персональных и платежных данных. По каждому из параметров присваивался определенный балл.
В результате тестирования были получены достаточно высокие показатели, отмечается в исследовании. В частности, в приложениях не обнаружили никаких вирусов, а все персональные и платежные данные хранились в зашифрованном виде. Однако обнаружились и "дыры", которые чреваты неприятными последствиями для пользователей. Наиболее часто встречающиеся из них –– слабые алгоритмы хеширования и шифрования, небезопасная реализация SSL (криптографический протокол для безопасной связи.
У программ для устройств, работающих на операционной системе Android, средний балл составил 4,15 из пяти возможных, для iOS — 3,82.
Есть риск получения злоумышленниками персональных и платежных данных, которые пользователь добровольно вносит в приложение. В данном случае речь идет о взаимодействии телефона с серверами, которые отвечают за работу системы заказа такси. Опасно это тем, что злоумышленник может вклиниться в канал передачи данных и похитить их, например, логин и пароль от приложения или сведения банковской карты, пояснил антивирусный эксперт "Лаборатории Касперского" Виктор Чебышев. По его словам, хакеру проще перехватить данные жертвы, когда они находятся в одной сети — например, подключены к открытому Wi-Fi в кафе или метро. В этом случае злоумышленник может переключить трафик мобильного телефона на себя, проанализировать его и далее направить на сервер. Жертва, скорее всего, не заметит атаки, а конфиденциальные сведения окажутся у мошенника. Делается это с помощью, так называемого DNS-спуфинга (одна из форм взлома компьютерных сетей). Приложение вместо адреса сервера получает подложный адрес и пытается к нему подключиться. Другой вариант, создание виртуальной сотовой "вышки", к которой подключается сотовый телефон. Это очень дорогой способ, но он позволяет перехватить все данные, вплоть до телефонных разговоров, добавил Виктор Чебышев.
Более половины протестированных приложений такси на базе Android оказались уязвимы к DNS-спуфингу и DoS-атакам, сообщается в исследовании.
Атаки DoS/DDoS несут для пользователей риск замедления работы приложения или отказа в обслуживании. Иными словами, клиенты просто не смогут воспользоваться сервисом. DDoS-атака, как правило, проводится на серверы компании и угрожает убытками вследствие сбоя в работе приложения.
Средний балл приложений для заказа такси на базе Android по критерию "Наличие уязвимостей" (возможности для хакерских атак) составил 2,56, для iOS — 0,74. Показатель выше 2,2 для приложения на Android считается достаточно высоким. Для операционной системы от Apple оценки, как правило, существенно ниже.
Дело в том, что платформа iOS сама по себе более защищенная. Поэтому разработчики приложений для Apple меньше заботятся о защищенности своих продуктов.
Гендиректор компании Zecurion (разработчик систем защиты информации) Алексей Раевский подчеркнул, что похитить данные карты непросто. Любая организация, размещающая форму для ввода данных банковской карты, должна получить сертификат соответствия международному стандарту безопасности данных платежных карт PCI DSS. Там достаточно жесткие требования. Некоторым компаниям, отметил эксперт, аудит на соответствие этим требованиям приходится проводить каждые полгода.