Заказ отменен: эксперты рассказали об уязвимостях приложений такси
Эксперты по кибербезопасности предупредили об уязвимостях приложений для заказа такси. По данным «Роскачества», 77% из них небезопасны для пассажиров — особенно это касается ПО региональных сервисов. «Известия» выяснили, какие риски могут нести такие приложения и как выбрать надежное.
Угрозы в приложениях
Приложения для заказа такси могут нести риски для пользователей. Первая и самая очевидная — это утечка персональных сведений и информации о поездках, данных банковских карт человека, которыми могут воспользоваться мошенники, рассказал «Известиям» руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности компании «Газинформсервис» Дмитрий Овчинников.
— Для рядового пользователя это самые критичные данные — с их помощью можно вычислить стандартные маршруты и место проживания. Имея в наличии электронные адреса людей и их данные, можно организовать атаку на почту с последующей кражей аккаунтов в соцсетях и иных сервисах, привязанных к электронной почте. В особо сложных случаях могут утечь данные банковских карт, — рассказывает Овчинников.
Если подобное ПО создано без методологии безопасной разработки, то на него можно совершить атаку типа «атака на цепочку поставок», и тогда вариативность последствий может быть еще больше: начиная от установки стилера и кражи аккаунтов мессенджера и заканчивая взломом онлайн-банка.
— Пока таких прецедентов замечено не было, но, скорее всего, это связано с тем, что базы данных там маленькие, и поэтому их публикации в даркнете не становились достоянием общественности, — говорит собеседник «Известий».
В первую очередь это касается малоизвестных сервисов, поскольку крупные следят за безопасностью своих пользователей, отметил эксперт. Там подобные инциденты маловероятны.
Необоснованный доступ
В начале октября специалисты «Роскачества» проверили 30 мобильных приложений из категории «Такси» — и почти 77% из них оказались небезопасными для пользователей. Результаты исследования есть в распоряжении «Известий».
Эксперты по кибербезопасности обратили внимание на несколько аспектов, включая требования приложений к доступам, наличие трекеров активности и безопасность передачи информации. Также они изучили трафик, пересылаемый приложениями, и незашифрованную информацию.
Как оказалось, 23 из 30 запрашивают больше доступов, чем необходимо. В частности, некоторые приложения могут менять или удалять данные на общем накопителе, внедряться в сетевые настройки или управлять NFC-модулем.
— 11 приложений, например BiTaksi и Taxsee, содержат встроенные трекеры от корпорации Google, три из этих 11 приложений также имеют трекеры от Facebook (принадлежит Meta, признана экстремистской и запрещена в России), — говорится в исследовании. — Некоторые, например «Такси Анжи», запрашивают просмотр контактов, не предоставляя исчерпывающих объяснений для таких разрешений.
Наибольшую обеспокоенность у специалистов вызвали приложения, принадлежащие таксопаркам в небольших городах. Все они создавались по одному шаблону, потому имеют одни и те же уязвимости, которые могут позволить злоумышленникам подключиться к сессии пользователя без прохождения проверок безопасности и завладеть конфиденциальной информацией.
При этом приложения крупных сервисов — таких как «Яндекс Go», «Максим» и «Таксовичкоф» — прошли проверку организации и показали низкий риск утечки информации.
— Популярные приложения не требуют лишних доступов и не злоупотребляют трекерами. Но на региональном уровне есть глобальная проблема, поэтому при установке таких приложений нужно быть осторожнее, — заключил руководитель Центра цифровой экспертизы «Роскачества» Сергей Кузьменко.
Кто создает приложения
Как объясняет «Известиям» председатель Союза пользователей цифровых платформ «Цифровой мир» Валерий Корнеев, малоизвестные приложения для заказа такси занимают лишь небольшую часть рынка. Согласно исследованиям, большая часть пассажиров — 78% — пользуется «Яндексом», остальные 22% делят между собой крупные игроки вроде «Максим», Drive и маленькие сервисы.
По словам эксперта, чаще всего такие приложения создают в регионах, маленьких городах и населенных пунктах. Иногда это делают местные службы такси, но чаще — просто местные предприниматели. Последние стали создавать их после принятия ФЗ №580 «Об организации перевозок пассажиров и багажа легковым такси», который вводит дополнительные регулирования для водителей, — многим стало сложно выполнить условия для того, чтобы попасть в реестр, и пришлось «уйти в тень».
— Сначала водители пользовались чатами в мессенджерах и принимали там заказы, а потом стали делать свои приложения. На коленке, по одному шаблону, который плохо защищен с точки зрения безопасности. А программы могут собирать персональные данные — телефоны, имена, адреса, треки движения пассажира, — рассказывает Корнеев.
Пассажиры пользуются такими приложениями по двум причинам: во-первых, иногда там быстрее вызвать такси, а во-вторых, бывает дешевле. Крупные агрегаторы забирают себе 15–25% от стоимости поездки, а водитель маленького сервиса вполне может сделать клиенту скидку.
— Но пассажир при этом рискует своей безопасностью. И дело не только в приложениях и данных, которые могут утечь. Если в крупном агрегаторе вы знаете, что водитель проверен, видите все его данные, маршрут прослеживается и вы можете в любой момент пожаловаться, здесь этого нет, — заключает Валерий Корнеев.
Работают в таких сервисах обычно либо водители-частники на своих машинах, оформленные как самозанятые или индивидуальные предприниматели, либо те, кто арендует автомобиль у местной службы такси. А приложения, часто небезопасные для пассажиров, просто упрощают им поиск заказов.
До мировых трендов
Модель агрегаторов такси в России создали за несколько лет до мирового тренда. К примеру, у сервиса «Максим» приложения для водителей и пассажиров появились еще в 2007 году. Они были написаны на Java для кнопочных телефонов, а потом, с появлением современных мобильных платформ, были разработаны версии для iOS и Android, рассказывает «Известиям» директор управляющей организации сервиса заказа такси «Максим» Максим Шушарин.
— Таким образом, приложения «Максим» разрабатываются уже 17 лет. Они регулярно обновляются, чтобы соответствовать самым современным требованиям пользователей. Сервис обеспечивает верификацию личности и все необходимые проверки водителей, во время выполнения заказов отслеживаются GPS-координаты поездки, — говорит Шушарин.
При этом, добавляет он, для пользователей доступна круглосуточная поддержка. В пользовательском приложении есть функция SOS — при нажатии экстренным контактам отправляется SMS с информацией о водителе и треком поездки. Пассажир может и просто поделиться треком поездки с теми, кто волнуется или встречает его.
— При этом очень важно, чтобы все данные хранились и передавались безопасно. Для того чтобы не допустить утечки и попадания информации в руки злоумышленников, данные пользователя приложение «Максим» хранит и передает в зашифрованном виде. При этом на стороне приложения для заказа такси не выполняются никакие финансовые операции и не хранятся реквизиты банковской карты. Все действия по авторизации добавленной карты и списанию денежных средств производятся на стороне банка-партнера, — добавляет собеседник «Известий».
Максим Шушарин отмечает, что современные программные разработки обходятся компаниям дорого. Хорошее приложение для заказа такси — результат труда сотен IT-специалистов: разработчиков, тестировщиков, аналитиков, специалистов по серверным решениям, по информационной безопасности и так далее. Всё это выгодно отличает заказ такси с помощью проверенных приложений больших сервисов.
— Маленькие региональные компании не могут себе позволить такие расходы, поэтому заказывают дешевые приложения, которые могут работать нестабильно и содержать уязвимости, в том числе использовать незащищенные протоколы передачи данных, слабые алгоритмы хеширования, — перечислять можно долго. На это и указывает исследование «Роскачества», — заключает эксперт.
Риски установки
По словам Дмитрия Овчинникова из «Газинформсервиса», в целом риски установки зависят от того, какие данные нужно ввести в приложение для его использования. Незащищенные протоколы передачи и хранения информации могут привести к тому, что в широком доступе окажется информация о перемещении с привязкой к телефонному номеру. Дальше, используя уже опубликованные сведения в «черных» базах данные, можно будет произвести сопоставление телефона и человека и по этим данным выявить его маршруты.
— Если при регистрации вводится полное ФИО, электронная почта и паспортные данные — то тут вероятна возможность утечки этих данных и их последующая продажа. Самый негативный сценарий — это взлом приложения и использование его для установки ПО удаленного управления. Тогда уже есть варианты с атакой на банковские счета, — рассказывает Овчинников.
Кроме того, есть вариант включения трекера в приложении. Тут может быть два варианта: если включить трекинг GPS, то тогда за положением телефона можно будет следить в реальном режиме времени. Второй вариант — в ПО может быть встроен трекер, который позволяет отслеживать посещение сайтов.
— Многое ПО содержит подобные трекеры, чтобы отслеживать активности пользователя. Это больше маркетинговый инструмент для получения понимания, по каким каналам пользователи приходят на сайт. Но в любом случае, когда эти данные попадают в чужие руки, то могут возникнуть разные варианты их использования. Опасность состоит в том, что по-отдельности разные утекшие данные могут быть бесполезными для злоумышленников, а вот если базы объединить друг с другом — мошенники получают мощный инструмент для атак как техническими средствами, так и методами социальной инженерии, — заключает собеседник «Известий».
Способы защиты
Лучший способ избежать неприятностей — это использовать приложения от проверенных операторов и агрегаторов такси, заключают эксперты «Известий». Если человек всё же решил установить малоизвестное приложение, сначала надо посмотреть количество скачиваний, отзывы о нем. Это не спасет от утечки данных, но поможет отфильтровать самые «мусорные» предложения в маркетплейсе.
— Ставить приложение лучше из маркетплейса — так будет больше гарантий, что ПО не содержит вирусов. Маркетплейсы стараются следить за тем, что у них опубликовано, регулярно чистят приложения с жалобами и блокируют их при подозрении на наличие троянского ПО, — говорит Дмитрий Овчинников.
После установки приложения нужно проверить, какие разрешения запрашивает ПО, и дать минимальный уровень — предоставлять только те разрешения и ту информацию, которая необходима для стабильной работы. Если приложение запрашивает доступ, например, к камере, это повод задуматься в его легитимности, добавляет ведущий GR менеджер, специалист по нормативно-правовому регулированию ИБ-компании «Код безопасности» Александра Шмигирилова.
— К приложению можно привязать отдельную банковскую карточку, на которой будет минимальное количество денег, — говорит эксперт.
Дмитрий Овчинников также советует при загрузке нового приложения смотреть на скорость разрядки батареи. Если батарея стала садиться очень быстро или смартфон стал тормозить, то, скорее всего, установленное ПО вызывает какие-то сбои в его работе.
— Не обязательно это вирус, но нестабильная работа — признак того, что что-то идет не так. Тут поможет удаление ПО, а лучше сбросить все настройки к заводским, — заключает он.
