Роскачество: 76,7% приложений для заказа такси имеют проблемы с защитой персональных данных

Удобство использования сервисов для вызова такси сопровождается рисками, связанными с безопасностью и конфиденциальностью персональной информации. К такому выводу пришли специалисты по кибербезопасности Центра цифровой экспертизы Роскачества. Они изучили 30 таких мобильных приложений. Из них 23 запрашивали данные, многие из которых аналитики сочли избыточными и необоснованными, пишет «Парламентская газета».

Оценку того или иного приложения специалисты по кибербезопасности ставили на основе нескольких показателей. Это:

запрашиваемые доступы

наличие трекеров активности

безопасность передачи данных

В программе Wireshark также анализировали весь трафик, пересылаемый приложениями. Затем выясняли, какие в нём незашифрованные сведения.

«Обнаруженные уязвимости рассматривали как потенциальные угрозы, что не исключает возможности использования их злоумышленниками», — рассказали «Парламентской газете» в пресс‑службе Роскачества.

Главная задача трекеров — отследить действия пользователей для аналитики и улучшения продукта, объяснили изданию в ведомстве. Однако данные из трекеров сначала приходят компании‑разработчику программного обеспечения и только потом — создателям приложений. А это, по мнению специалистов, увеличивает риск утечки информации и требует от производителей особой внимательности при выборе поставщика аналитических инструментов.

Из 30 попавших в поле зрения приложений 11, в том числе BiTaksi и Taxsee, имеют встроенные трекеры от Google и несколько — от менее крупных компаний. А три из этих 11 также оснащены трекерами от Facebook*.

«Семь наиболее популярных приложений из рейтингов AppStore и Google Play, такие как „Яндекс Go“, Maxim и „Таксовичкоф“, показали ожидаемо высокий уровень защиты: весь трафик был зашифрован, а запрашиваемые доступы минимальны и обоснованы», — следует из исследования Роскачества.

При этом 23 сервиса, то есть почти 76,7%, требовали значительно больше доступов, многие из которых аналитики считают лишними и необоснованными. Например, BiBi и AltoCar просили о возможности изменения или удаления данных на общем накопителе, Drivee — трансформации сетевых настроек, а Bolt — доступ к управлению NFC‑модулем. Приложение «Такси Анжи» и вовсе хотело бы просматривать контакты без мотивации для этого.

Особенно специалистов насторожили десять приложений, принадлежащих локальным таксопаркам и работающих в не самых крупных городах России. Среди них — «Такси Инфинити», «Такси „Белое“, «Такси „Пилот“, „Мегаполис“.

«Все они имеют идентичные и серьёзные проблемы с безопасностью и передают такие данные, как ID и ключ приложения, ID устройства, и другие параметры в незашифрованном виде», — пояснили «Парламентской газете» в пресс-службе Роскачества.

Благодаря этим уязвимостям мошенники могут присоединиться к сессии пользователя без прохождения проверок и завладеть конфиденциальной информацией. Например, о маршрутах и времени передвижения, домашних адресах, способах оплаты и даже перепиской с водителями.

Источник: habr.com

0 0 голоса
Рейтинг новости
6965
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии