Пассажирские криптоуязвимости. Как лишиться денег, заказав такси через мобильное приложение

Роскачество пишут «Известия», проверило безопасность приложений «Яндекс.Такси», «Ситимобил», Gett, Uber, Rutaxi, Maxim, «Везет» и Fasten. Оценку проводили по семи параметрам, в том числе безопасность передачи данных, их хранения, выявление уязвимостей, наличие вирусов и так далее.

Вредоносных программ, к счастью, нигде не обнаружилось, а платежные и персональные данные пассажиров хранились в зашифрованном виде. Однако во всех приложениях использовались слабые алгоритмы кодирования и хеширования, а также небезопасной была реализация криптографического протокола для связи SSL.

Из-за этих уязвимостей в Роскачестве не исключают возможности получения мошенниками данных банковских карт или личной информации пользователей. Более половины протестированного софта для Android уязвимо к DNS-спуфингу и DoS-атакам. Из-за этого приложения могут тормозить или вообще не работать. В итоге средняя оценка программ на Android составила 4,15 балла из пяти возможных, а для iOS — и вовсе 3,82 балла.

В настоящее время рынок таксомоторных перевозок в России оценивается в 570 миллиардов рублей в год. Треть всех заказов делается через мобильные приложения. Пока случаев взлома аккаунтов пассажиров не было. Но опрошенные газетой эксперты рекомендовали россиянам установить на смартфоны VPN или не заказывать машину, подключившись к публичной Wi-Fi-сети.

Представители Махim пояснили, что в их приложениях уязвимостей не нашли, поскольку они используют двухфакторную аутентификацию и защищенный протокол передачи данных. В «Ситимобил» отметили, что случаев взлома аккаунтов у их пассажиров не было. В «Яндекс. Такси»сообщили что их софт проходит российский и международный независимый аудит на предмет контроля безопасности. Такси «Везет», куда входит бренд Fasten, также рассказали, что хранят персональные данные и платежную информацию в зашифрованном виде и передают ее исключительно по защищенным протоколам.

Проблема библиотек

Генеральный директор Zecurion Алексей Раевский пояснил «360», что разработчики приложений, как правило, используют готовые библиотеки для криптографии и хеш-функций. Никто из них самостоятельно не занимается реализацией этих алгоритмов. Поэтому если в библиотеках есть уязвимости, то они есть во всех приложениях, где их используют.

Что же касается вбивания платежных данных в софт, сказал Раевский, то эти сведения хранятся не в телефоне пассажира, а передаются на сервер той таксомоторной компании или агрегатора, чьими услугами он пользуется. Передача происходит один раз, а уже на серверах применяются совсем другие технологии защиты.

«Мошенники постоянно воруют деньги и данные. Но я ни разу не сталкивался с тем, чтобы это было связано с какими-то проблемами реализации алгоритмов шифрования в приложениях для вызова такси», — добавил эксперт.

В любом случае при использовании мобильного приложения у пользователя нет никаких инструментов, чтобы повлиять на свою защищенность, ведь утечка данных всегда может произойти с сервера. И выход только один: вообще не пользоваться никакими приложениями.

Чем мельче, тем небезопаснее

Технический директор Qrator Labs Артем Гавриченков сообщил «360», что у крупных компаний, скорее всего, все в относительном порядке с защитой данных пассажиров. Особенно если перевозчики работают и на европейском рынке, где местное законодательство строго относится к безопасности информации.

«Но если взять локальных игроков, то могут быть различные варианты. И проблема с защитой данных у таких приложений действительно имеется. И мы давно говорим, что не нужно устанавливать приложения компаний, если вы не уверены, что они надежно защищают данные. Будь то программы для вызова такси или для доставки — все что угодно», — добавил он.

Следует с осторожностью вводить в них данные, по которым клиента можно узнать, идентифицировать и причинить вред. При совсем низком качестве написания приложения уязвимостей может быть больше. И привычка не подключаться ко всем подряд Wi-Fi-сетям может не спасти.

VPN не панацея

С другой стороны, рекомендацию использовать VPN для обмена данными часто можно слышать от поставщиков VPN-клиентов. Однако на сегодняшний день консенсус крупных провайдеров и таких компаний, как Facebook и Google, вообще не доверяет операторам, так как теоретически они или с их помощью могут подменять проходящие через них данные.

«Если пускать трафик через VPN, то все данные, включая платежные и персональные, будет получать сервер этого клиента. Поэтому при выборе такого сервиса нужно быть осмотрительнее, чем при выборе Wi-Fi-точки. Потому что вероятность попасть на сервис, который будет воровать или торговать данными, существенна», — добавил Гавриченков.