Удобство использования сервисов для вызова такси сопровождается рисками, связанными с безопасностью и конфиденциальностью персональной информации. К такому выводу пришли специалисты по кибербезопасности Центра цифровой экспертизы Роскачества. Они изучили 30 таких мобильных приложений. Из них 23 запрашивали данные, многие из которых аналитики сочли избыточными и необоснованными, пишет «Парламентская газета».
Оценку того или иного приложения специалисты по кибербезопасности ставили на основе нескольких показателей. Это:
запрашиваемые доступы
наличие трекеров активности
безопасность передачи данных
В программе Wireshark также анализировали весь трафик, пересылаемый приложениями. Затем выясняли, какие в нём незашифрованные сведения.
«Обнаруженные уязвимости рассматривали как потенциальные угрозы, что не исключает возможности использования их злоумышленниками», — рассказали «Парламентской газете» в пресс‑службе Роскачества.
Главная задача трекеров — отследить действия пользователей для аналитики и улучшения продукта, объяснили изданию в ведомстве. Однако данные из трекеров сначала приходят компании‑разработчику программного обеспечения и только потом — создателям приложений. А это, по мнению специалистов, увеличивает риск утечки информации и требует от производителей особой внимательности при выборе поставщика аналитических инструментов.
Из 30 попавших в поле зрения приложений 11, в том числе BiTaksi и Taxsee, имеют встроенные трекеры от Google и несколько — от менее крупных компаний. А три из этих 11 также оснащены трекерами от Facebook*.
«Семь наиболее популярных приложений из рейтингов AppStore и Google Play, такие как „Яндекс Go“, Maxim и „Таксовичкоф“, показали ожидаемо высокий уровень защиты: весь трафик был зашифрован, а запрашиваемые доступы минимальны и обоснованы», — следует из исследования Роскачества.
При этом 23 сервиса, то есть почти 76,7%, требовали значительно больше доступов, многие из которых аналитики считают лишними и необоснованными. Например, BiBi и AltoCar просили о возможности изменения или удаления данных на общем накопителе, Drivee — трансформации сетевых настроек, а Bolt — доступ к управлению NFC‑модулем. Приложение «Такси Анжи» и вовсе хотело бы просматривать контакты без мотивации для этого.
Особенно специалистов насторожили десять приложений, принадлежащих локальным таксопаркам и работающих в не самых крупных городах России. Среди них — «Такси Инфинити», «Такси „Белое“, «Такси „Пилот“, „Мегаполис“.
«Все они имеют идентичные и серьёзные проблемы с безопасностью и передают такие данные, как ID и ключ приложения, ID устройства, и другие параметры в незашифрованном виде», — пояснили «Парламентской газете» в пресс-службе Роскачества.
Благодаря этим уязвимостям мошенники могут присоединиться к сессии пользователя без прохождения проверок и завладеть конфиденциальной информацией. Например, о маршрутах и времени передвижения, домашних адресах, способах оплаты и даже перепиской с водителями.
Источник: habr.com