11 апреля 2019. Эксперты Роскачества, исследовав наиболее популярные приложения для заказа такси, пришли к выводу, что они могут потенциально стать причиной утечки персональных данных, в том числе информации о банковских картах. При объеме рынка такси в России в 570 млрд рублей (треть заказов осуществляется через приложения), потенциальный ущерб может быть также многомиллиардным.
Сервисы такси, опрошенные "Известиями" утверждают, что используют защищенный протокол передачи данных и хранят все данные в зашифрованном виде, а случаев взлома аккаунтов не фиксировалось. Но эксперты всё же советуют не заказывать такси, подключившись к открытой Wi-Fi-сети, либо установить на смартфон VPN-клиент.
Роскачество проверило на безопасность данных наиболее популярные приложения для заказа такси. У программ для устройств, работающих на операционной системе Android, средний балл составил 4,15 из пяти возможных, для iOS — 3,82, сказано в исследовании.
Эксперты протестировали "Яндекс.Такси" (12+), Uber Russia(12+), Maxim(12+), Gett(12+), "Ситимобил"(12+), Rutaxi(12+), Fasten (12+) и "Везет" (12+). Тестирование показало высокие показатели. В приложениях не было обнаружено вирусов, все персональные и платежные данные хранились в зашифрованном виде. Однако, были обнаружены и "дыры". Самая частая уязвимость — слабые алгоритмы хеширования и шифрования, небезопасная реализация SSL (криптографического протокола).
Если пользователь добровольно вносит в приложение персональные и платежные данные, есть риск, что доступ к ним будет получен злоумышленниками. По мнению эксперта "Лаборатории Касперского", уязвимым звеном является взаимодействие телефона с серверами, отвечающими за работу системы заказа такси. На этом этапе злоумышленник может вклиниться в канал передачи данных и похитить их — например, логин и пароль от приложения или сведения банковской карты.
Хакеру проще перехватить данные жертвы, когда они находятся в одной сети — например, подключены к открытому Wi-Fi в кафе или метро. В этом случае злоумышленник может переключить трафик мобильного телефона на себя, проанализировать его и далее направить на сервер. Жертва, скорее всего, не заметит атаки, а конфиденциальные сведения окажутся у мошенника. Делается это с помощью так называемого DNS-спуфинга (одна из форм взлома компьютерных сетей). Приложение вместо адреса сервера получает подложный адрес и пытается к нему подключиться, объяснил эксперт.
Роскачество, между тем в своем исследовании сообщило, что более половины протестированных приложений такси на базе Android оказались уязвимы к DNS-спуфингу и DoS-атакам. Для приложений для Apple "характерны слабый алгоритм шифрования данных, использование буфера обмена и небезопасная аутентификация".
Наиболее эффективный способ устранить риски утечки данных при заказе такси – не пользоваться в этот момент публичной точкой Wi-Fi. Лучше выходить в Сеть с гаджета, используя мобильный интернет. Более надежный способ – скачать VPN-клиент и подключаться к Сети через VPN, что обеспечит шифрование всего трафика с телефона.
Егор Тараруев