«ЛК» выявила опасность каршеринговых приложений – хакеры охотятся за аккаунтами пользователей

Отдел новостей
01.08.2018
Категории: Кибербезопасность, Новости, Транспорт
Теги: каршеринг, кибербезопасность, Лаборатории Касперского, уязвимости

Злоумышленники проявляют активный интерес к аккаунтам в каршеринговых приложениях – «угнанные», т.е. краденые учётные записи в соцсетях и взломанные почтовые аккаунты стоят совсем мало, а вот цены на краденые аккаунты в системах каршеринга достаточно высоки — от 18 долларов за штуку. Специалисты «Лаборатории Касперского» проверили, насколько безопасны приложения таких сервисов и изучили на предмет уязвимости 13 Android-приложений (названия сервисов не приводятся).

Среди потенциальных покупателей краденых каршеринговых аккаунтов – любители прокатиться за чужой счет, молодые люди, не достигшие 21 года, лица без достаточного стажа вождения или вообще без водительских прав, а также те, кого в сервисах каршеринга уже заблокировали за нарушения.

«Взяв в прокат машину под чужим аккаунтом, можно натворить бед и не понести за это ответственность», — рекламируют свой товар продавцы краденого. За ДТП и причинённый автомобилю урон скорее всего придётся отвечать жертве взлома. Как вариант, машину можно отогнать подальше от любопытных глаз и там распилить на запчасти.

Приложения проверялись по четырём возможным направлениям атаки:

перехват данных, которыми приложение обменивается с сервером;
подбор паролей доступа;
перекрытие интерфейса приложения фальшивым окном;
запуск на «рутованных» (предоставляющих доступ к корню файловой системы. – ред.) устройствах и внедрение вредоносного кода.

Каршеринг: как преступный мир двух столиц адаптируется к цифровой экономике

Выяснилось, что ни одно из приложений не производит проверку сертификатов, подтверждающих безопасность обмена данными между приложением и сервером. Подменив сертификат, можно перехватить те данные, которыми каршеринговые приложения обмениваются с серверами — и вычленить из них логин и пароль. Например, риск угона аккаунта существует, если пользоваться каршеринговым приложением в незащищенной Wi-Fi-сети.

Кроме того, разработчики, по данным «ЛК», не озаботились защитой от поддельных окон авторизации и перехвата SMS.

Специалисты дали пользователям ряд советов, как обезопасить себя от мошенничества: не оставлять в открытом доступе номер телефона и адрес электронной почты, к которым привязана учетная запись каршеринга, не пользоваться приложениями каршеринга при подключении к небезопасным Wi-Fi-сетям, использовать VPN-соединение, следить за историей поездок и платежей, при неожиданном получении SMS с ПИН-кодом для входа в приложение каршеринга немедленно сообщить об этом в службу поддержки.