Кар- и кикшеринг-сервисы оказались уязвимыми

Эксперты ООО "АппСек Солюшенс" (AppSec Solutions) обнаружили в 13 самых популярных в России приложениях для кар- и кикшеринга более 400 уязвимостей, 25 из них высокого уровня. По словам руководителя отдела анализа защищенности AppSec.Sting Никиты Пинаева, многие сервисы хранят чувствительную информацию в открытом виде. Он назвал это распространенной проблемой, открывающей большие возможности для злоумышленников. Среди других распространенных уязвимостей он упомянул недостаток в реализации детектов на скомпрометированную среду. Однако отметил, что среди сервисов есть и такие, у которых нет серьезных уязвимостей.

"Хранение и передача чувствительных данных в незащищенном виде - наиболее часто встречающиеся недостатки ПО среди приложений для транспорта. Весной команда AppSec.Sting уже проводила масштабное исследование первой сотни наиболее популярных мобильных приложений в категории "Транспорт", в которую вошли сервисы такси, навигаторы, приложения для пассажиров общественного транспорта. За 2024 г. в этой категории обнаружено более 1,8 тыс. уязвимостей, из них 650 уровня critical и high", - говорится в сообщении компании.

Представитель пресс-службы AppSec Solutions добавил, что исследование проводилось намеренно обезличенно для чистоты эксперимента, поэтому назвать "поименно" тех, у кого есть проблемы, и тех, у кого их нет, он не может. Однако он подтвердил, что у некоторых приложений нет уязвимостей высокого уровня, а у некоторых их несколько.

"Чувствительные - не то же самое, что персональные. Это секреты: пароли, токены и т.д., которые позволяют хакерам попадать в систему и добираться до персональных данных пользователей. Они часто хранятся в открытом виде", - сказал он.

Представители пресс-служб ООО "Вуш" (сервис кикшеринга Whoosh), ООО "ЮрентБайк.ру" (кикшеринговый сервис "Юрент", входит в экосистему ПАО "МТС") и МКПАО "Яндекс", не ответили на вопросы корреспондента ComNews.

По словам эксперта Kaspersky ICS CERT АО "Лаборатория Касперского" Владимира Дащенко, компания проверяла уровень безопасности 13 приложений для каршеринга из разных стран мира, и во всех были недоработки. Среди них он назвал отсутствие защиты от атак типа "человек посередине", от обратной разработки, от наложения приложений и т.д. Помимо этого, часть сервисов требовали от пользователей ввести ненадежный пароль, что помогало злоумышленникам легко его подобрать.

"Только одно приложение уведомляло пользователя об успешной авторизации на новом мобильном устройстве. Когда данные уже оказались в руках злоумышленников, только один сервис позволял пользователю самостоятельно решить, что делать дальше с аккаунтом. Поэтому разработчикам приложений крайне важно уделять должное внимание вопросам безопасности, в частности - создавать конструктивно безопасные приложения, то есть те, в основе которых лежат принципы безопасной разработки. Пользователям стоит регулярно обновлять приложения, поскольку вместе с обновлениями разработчики выпускают патчи, закрывающие уязвимости", - пояснил Владимир Дащенко.

Руководитель направления развития бизнеса ООО "Индид" Игорь Тюкачев рассказал, что уровень безопасности кар- и кикшеринговых сервисов сложно назвать высоким. Он обратил внимание, что это высококонкурентные индустрии, на которых важно быстро действовать. От быстроты запуска новых услуг и сервисов зависит выручка компаний, и разработка ставит в приоритет не безопасность, а скорость.

"Несмотря на то, что сейчас много времени уделяется концепции Secure by design и в целом безопасной разработке, опираясь на последние примеры массовых утечек, мы видим, что системы кар- и кикшеринговых компаний все равно остаются уязвимы к атакам. Важно отметить наличие ресурсов для обеспечения безопасности у разных игроков этого рынка. Если крупные операторы имеют возможность значительно инвестировать в ИБ, то у игроков поменьше таких ресурсов и возможностей тоже сильно меньше", - сказал он.

По словам архитектора информационной безопасности ООО "Юзергейт" Дмитрия Овчинникова, реальная оценка защищенности зависит от детального анализа найденных уязвимостей, так как не каждую можно использовать. Он отметил, что уровень защищенности сервисов демонстрирует классическое отношение бизнеса к информационной безопасности в условиях сильной конкуренции.

"Уменьшение времени выхода продукта на рынок, появление новых опций для борьбы с конкурентами, когда на счету каждый день, зачастую приводит к снижению безопасности в угоду удобных функций. К сожалению, таким отношением страдают многие компании по всему миру", - рассказал он.

Игорю Тюкачев отметил, что введение оборотных штрафов привело к некоторому росту защищенности сервисов, но к недостаточному. По его мнению, прошло слишком мало времени со дня вступления закона в силу.

"Появление оборотных штрафов - это хорошая инициатива, нацеленная на перспективу. Наличие таких штрафов, конечно же, заставит компании быстрее закрывать уязвимости. Однако стабильный рост информационной безопасности - это корпоративная культура, в том числе и культура безопасной разработки, которую надо развивать годами, чтобы произошло смещение акцентов при ведении бизнеса с максимизации прибыли на бережное отношение к персональным данным клиентов", - заключил Дмитрий Овчинников.