МОСКВА, 31 июл — ПРАЙМ. Каршеринговые приложения содержат потенциальные угрозы кибербезопасности, которые могут позволить злоумышленникам получить доступ к аккаунту пользователя, ездить за чужой счет или угнать автомобиль, показало исследование "Лаборатории Касперского".
В ходе исследования специалисты компании проверили безопасность 13 приложений для каршеринга, разработанных различными производителями со всего мира.
"В результате эксперты обнаружили, что все протестированные сервисы содержат в себе ряд потенциальных угроз кибербезопасности. Получив несанкционированный доступ к аккаунту, злоумышленники могут ездить на автомобиле за чужой счет, угонять транспортное средство, разбирать его на запчасти или отслеживать передвижения пользователя. Вероятен даже такой сценарий, при котором украденные персональные данные будут распространяться на черном рынке за отдельную плату", — говорится в сообщении "Лаборатории Касперского" по результатам исследования.
По данным "Лаборатории Касперского", мошенники уже занимаются продажей аккаунтов каршеринговых служб. "Спрос на подобный товар существует среди тех, кто не имеет водительского удостоверения или кому службы безопасности приложений отказали в регистрации", — отмечается в сообщении.
"В результате нашего исследования, мы пришли к выводу о том, что сегодня в большинстве своем приложения для каршеринга ещё не полностью готовы противостоять вредоносным программам. Пока мы не выявили случаев изощрённых кибератак на эти сервисы, ценность которых, однако, уже осознают киберпреступники. Существование соответствующих предложений на чёрном рынке демонстрирует, что у разработчиков не так много времени для устранения обнаруженных уязвимостей", — приводятся в сообщении слова антивирусного эксперта "Лаборатории Касперского" Виктора Чебышева.
"Лаборатория Касперского" уведомила разработчиков приложений о выявленных уязвимостях.
СПИСОК ПОТЕНЦИАЛЬНЫХ УГРОЗ
"Лаборатория Касперского" называет несколько потенциальных киберугроз, обнаруженных в каршеринговых приложениях.
В частности, одна из них — отсутствие защиты от атак типа "человек посередине". В случае возникновения подобного киберинцидента пользователь считает, что он подключен к легитимному сервису, однако трафик фактически перенаправляется через сайт злоумышленников, позволяя им собирать любые личные данные, введенные жертвой (логин, пароль, PIN-код и так далее).
Потенциальной угрозой также является отсутствие защиты от обратной разработки. В этом случае киберпреступники могут понять, как приложение работает, и найти уязвимость, которая позволит им получить доступ к серверной инфраструктуре.
Еще одна потенциальная угроза — отсутствие в приложении методов, которые позволяют обнаружить предоставление устройством прав суперпользователя. Такие права открывают практически безграничные возможности перед злоумышленниками, получившими доступ к гаджету, отмечает компания.
Потенциальную угрозу также представляет отсутствие защиты от наложения экранов приложений. Подобная уязвимость позволяет вредоносным приложениям отображать фишинговые окна и похищать учетные данные пользователя.
"Менее половины приложений требуют от пользователя введения надежного пароля, что означает: в большинстве случаев киберпреступники могут атаковать жертву с помощью простого сценария подбора PIN-кода", — отмечается в сообщении.
КАК ЗАЩИТИТЬСЯ
Эксперты "Лаборатории Касперского" советуют пользователям каршеринговых приложений придерживаться следующих правил: не оставлять в открытом доступе номер телефона и адрес электронной почты; завести для оплаты каршеринга отдельную банковскую карту и не хранить на ней больше денег, чем необходимо; вовремя обновлять операционную систему устройств и установить проверенное защитное решение на устройство.
Кроме того, если каршеринговый сервис неожиданно присылает sms-сообщение с PIN-кодом от аккаунта, необходимо сообщить об этом в службу безопасности и отвязать от этого аккаунта банковскую карту.