Исследователи «Лаборатории Касперского» проверили безопасность 13 приложений для каршеринга и обнаружили, что все протестированные сервисы содержат ряд потенциальных киберугроз. Получив доступ к аккаунту, злоумышленники могут ездить на автомобиле за чужой счет, угонять транспортное средство, разбирать его на запчасти или отслеживать передвижение пользователя, говорится в сообщении компании.
Специалисты «Лаборатории Касперского» обнаружили отсутствие защиты от атак типа «человек посередине». В случае возникновения подобного киберинцидента пользователь считает, что он подключен к легитимному сервису, однако трафик фактически перенаправляется через сайт злоумышленников, позволяя им собирать любые личные данные. Также отсутствует защита от обратной разработки. В результате ее проведения киберпреступники могут понять, как приложение работает, и найти уязвимость, которая позволит им получить доступ к серверной инфраструктуре.
Кроме того, нет методов, которые позволяют обнаружить предоставление устройством прав суперпользователя, и нет защиты от наложения приложений. Подобная уязвимость позволяет вредоносным приложениям отображать фишинговые окна и красть учетные данные пользователя.
Также менее половины приложений требуют от пользователя введения надежного пароля, то есть в большинстве случаев киберпреступники могут атаковать жертву с помощью простого подбора ПИН-кода.
По словам Виктора Чебышева, антивирусного эксперта «Лаборатории Касперского», сегодня приложения для каршеринга еще не полностью готовы противостоять вредоносным программам. Существование соответствующих предложений на черном рынке демонстрирует, что у разработчиков не так много времени для устранения обнаруженных уязвимостей.
Комментарии