Путь заказан: в популярных приложениях такси найдены уязвимости


Путь заказан: в популярных приложениях такси найдены уязвимости
11 Апреля 2019

Наиболее популярные приложения для заказа такси потенциально могут стать причиной утечки персональных данных, включая сведения банковских карт. К такому выводу пришли эксперты Роскачества в своем исследовании, с которым ознакомились «Известия». Кроме того, почти половина приложений агрегаторов неустойчива к DDoS-атакам, что может привести к блокировке сервиса. Объем рынка таксомоторных перевозок в России составляет более 570 млрд рублей, треть заказов делается через приложения. Поэтому потенциальный ущерб также может исчисляться миллиардами рублей. В сервисах такси сказали «Известиям», что используют защищенный протокол передачи данных, вся информация хранится в зашифрованном виде, а случаев взлома аккаунтов не фиксировалось. Но эксперты всё же советуют не заказывать такси, подключившись к открытой Wi-Fi-сети, либо установить на смартфон VPN-клиент.

«Дыры» в безопасности

Роскачество проверило на безопасность данных наиболее популярные приложения для заказа такси. У программ для устройств, работающих на операционной системе Android, средний балл составил 4,15 из пяти возможных, для iOS — 3,82, сказано в исследовании, с которым ознакомились «Известия».

Тестированию подверглись «Яндекс.Такси», Uber Russia, Maxim, Gett, «Ситимобил», а также Rutaxi, «Везет» и Fasten. Оценка проводилась по семи параметрам. Среди них — наличие возможных уязвимостей (при помощи программного обеспечения Solar appScreener), вредоносных программ, а также безопасность передачи и хранения персональных и платежных данных. По каждому из параметров присваивался определенный балл.

В результате тестирования были получены достаточно высокие показатели, отмечается в исследовании. В частности, в приложениях не обнаружили никаких вирусов, а все персональные и платежные данные хранились в зашифрованном виде. Однако обнаружились и «дыры», которые чреваты неприятными последствиями для пользователей.

«Проверка показала, что в приложениях имеется ряд потенциальных уязвимостей. Наиболее часто встречающиеся из них –– слабые алгоритмы хеширования и шифрования, небезопасная реализация SSL (криптографический протокол для безопасной связи. –– «Известия»)», –– говорится в исследовании.

Есть риск получения злоумышленниками персональных и платежных данных, которые пользователь добровольно вносит в приложение.

–– В данном случае речь идет о взаимодействии телефона с серверами, которые отвечают за работу системы заказа такси. Опасно это тем, что злоумышленник может вклиниться в канал передачи данных и похитить их –– например, логин и пароль от приложения или сведения банковской карты, –– пояснил антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев.

По его словам, хакеру проще перехватить данные жертвы, когда они находятся в одной сети — например, подключены к открытому Wi-Fi в кафе или метро. В этом случае злоумышленник может переключить трафик мобильного телефона на себя, проанализировать его и далее направить на сервер. Жертва, скорее всего, не заметит атаки, а конфиденциальные сведения окажутся у мошенника. Делается это с помощью так называемого DNS-спуфинга (одна из форм взлома компьютерных сетей). Приложение вместо адреса сервера получает подложный адрес и пытается к нему подключиться.

Другой вариант –– создание виртуальной сотовой «вышки», к которой подключается сотовый телефон. Это очень дорогой способ, но он позволяет перехватить все данные, вплоть до телефонных разговоров, добавил Виктор Чебышев.

Удаленная блокировка

Более половины протестированных приложений такси на базе Android оказались уязвимы к DNS-спуфингу и DoS-атакам, сообщается в исследовании Роскачества.

–– Атаки DoS/DDoS несут для пользователей риск замедления работы приложения или отказа в обслуживании. Иными словами, клиенты просто не смогут воспользоваться сервисом, –– сказал «Известиям» руководитель Центра цифровой экспертизы Роскачества Антон Куканов. DDoS-атака, как правило, проводится на серверы компании и угрожает убытками вследствие сбоя в работе приложения.

В исследовании Роскачества также говорится, что для приложений для Apple «характерны слабый алгоритм шифрования данных, использование буфера обмена и небезопасная аутентификация (процедура проверки данных пользователя)».

Средний балл приложений для заказа такси на базе Android по критерию «Наличие уязвимостей» (возможности для хакерских атак) составил 2,56, для iOS — 0,74. Показатель выше 2,2 для приложения на Android считается достаточно высоким. Для операционной системы от Apple оценки, как правило, существенно ниже.

–– Дело в том, что платформа iOS сама по себе более защищенная. Поэтому разработчики приложений для Apple меньше заботятся о защищенности своих продуктов, –– пояснил Антон Куканов.

Накрылись VPN

Количество такси в России в 2018 году, по данным исследования Digital Vision, превысило 466 тыс. машин. На постоянной основе таксистами в прошлом году работали 584 тыс. человек, еще 120 тыс. –– временно подрабатывали. За 10 лет этот показатель вырос на 300 тыс., а объем рынка –– в 2,5 раза, превысив 570 млрд рублей. Аналитический центр при правительстве ранее оценивал долю агрегаторов на рынке таксомоторных перевозок России примерно в 33% (в Москве этот показатель существенно выше). Таким образом, хакерские атаки на пользователей приложений могут нанести ущерб на миллиарды рублей.

СПРАВКА «ИЗВЕСТИЙ»

Приложения для заказа такси интенсивно развиваются вместе с агрегаторами, которые постепенно вытесняют традиционные таксопарки. По данным аналитического центра при правительстве РФ, в 2010–2015 годах в процессе трансформации рынка крупные таксомоторные компании с большим количеством автомобилей, своими водителями и диспетчерскими службами почти вымерли, сохранившись лишь в Москве и Санкт-Петербурге. Им на смену пришли так называемые облегченные таксомоторы до 100 машин –– они сотрудничают с агрегаторами и привлекают ИП с собственными автомобилями.

–– Более надежный способ –– скачать VPN-клиент и подключаться к Сети через VPN, что обеспечит шифрование всего трафика с телефона, –– отметил он.

Эксперт добавил, что для устройств на базе Android самые распространенные угрозы связаны с заражением вирусами, похищающими личные данные из разных приложений (включая заказ такси). И от них может защитить антивирусное ПО и соблюдение мер предосторожности –– не скачивать приложения из неофициальных источников, не переходить по подозрительным ссылкам в мессенджерах и почте.

Гендиректор компании Zecurion (разработчик систем защиты информации) Алексей Раевский подчеркнул в разговоре с «Известиями», что похитить данные карты непросто.

–– Любая организация, размещающая форму для ввода данных банковской карты, должна получить сертификат соответствия международному стандарту безопасности данных платежных карт PCI DSS. Там достаточно жесткие требования, –– пояснил он.

Некоторым компаниям, отметил эксперт, аудит на соответствие этим требованиям приходится проводить каждые полгода.

В сервисе такси «Максим» заявили «Известиям», что в приложениях Maxim и Taxsee Driver уязвимостей не выявлено. Там подчеркнули, что сервис использует защищенный протокол передачи данных, вход происходит «после двухфакторной аутентификации». В «Ситимобил» подчеркнули, что защита данных клиентов –– приоритет для компании и случаев взлома аккаунтов не фиксировалось. В «Яндекс.Такси» подчеркнули, что все приложения прошли независимый аудит, в том числе российский и международный контроль безопасности. Представитель такси «Везет» (объединяет бренды «Везет», «Сатурн», «Лидер», Red Taxi, Rutaxi, Fasten) сказала, что вся информация хранится в зашифрованном виде и передается по шифрованным протоколам. В Gett на запрос не ответили.

Наиболее эффективный способ устранить риски утечки данных при заказе такси, по словам Виктора Чебышева, –– не пользоваться в этот момент публичной точкой Wi-Fi. Лучше выходить в Сеть с гаджета, используя мобильный интернет.

Источник

Короткая ссылка на новость: http://taxilife.ru:80/~8KUGH
 

 

Современный таксист – каким он должен быть?

  

taxiКогда мы заказываем такси в специализированной службе или просто ловим на улице попутную машину, мы сталкиваемся с абсолютно разными людьми. Часто бывает даже так, что прыгая на заднее сиденье авто, мы не задумываемся, а кто же сидит за рулем. Нам по большому счету это не интересно, ведь основная цель вызова такси - это добраться как можно быстрее и комфортней до необходимого места.

А иногда, в периоды грусти и плохого настроения, мы с таксистом делимся проблемами, а после того, как за нами захлопывается дверь авто, совершенно забываем невольного слушателя. Какие же они на самом деле – таксисты? Каким сегодня представляют портрет сотрудника службы такси?

Ищем ответы

Ответить на этот вопрос однозначно нельзя. Таксисты сегодня есть очень разные, как и их клиенты. Каждый раз мы совершенно не знаем, кто именно нас отвезет в назначенное место, ведь в такси работают самые разные, интересные люди. К примеру, можно встретить пожилого человека с большим стажем работы именно в этой сфере. Такой таксист хорошо помнит советские времена, когда не было радиотакси, когда ездили по городу одинаковые волги с желтыми традиционными шашечками.

Вам очень повезет, если Вы попадете именно на такого сотрудника, ведь он успел за годы работы изучить город досконально, знает как объехать пробки, как быстро и удобно доставить клиента к месту назначения. А еще – такой водитель отличный психолог, поэтому приятная беседа клиенту обеспечена. Если клиент еще и гость города, в таком случае с таксистом старой закалки ему повезет вдвойне. Ему обеспечена замечательная экскурсия по городу, а также консультация на тему гостиниц и ресторанов, куда лучше отправиться и где лучше всего отдохнуть.

Случайные люди в такси тоже не редкость. Судьба странная штука, поэтому за рулем автомобиля службы пассажироперевозчика можно встретить и лингвистов, и академиков, которые имеют несколько высших образований за спиной. Одни приходят в такси от безысходности, когда теряют надежду на работу по специальности и признание в своей профессии. Другие выбирают такую работу потому, что она им действительно нравится. А почему бы и нет, ведь служба такси это увлекательная работа, постоянные встречи с новыми людьми, занимательные беседы.

Временные рабочие или постоянные сотрудники

Иногда можно встретить людей, которые приходят в службы такси на некоторый период. Они в поисках работы, но пока найти что-то по своей специальности или по своему вкусу не могут, решают подработать таксистами. Это не лучший вариант для клиента, так как часто именно такие сотрудники плохо ориентируются в городе, не успевают или не желают поддерживать в отличном состоянии автомобиль.

Хотя, радует, что сегодня встретить данную категорию таксистов очень сложно. Большинство служб такси подобных соискателей просто не принимают на работу, чтобы поддерживать репутацию своей службы. Поэтому можно сказать, что портрет современного таксиста - это профессиональный водитель, добрый и приветливый человек, который отлично знает город и, что главное, любит свою работу!

Источник: http://www.kchetverg.ru 

Хочешь больше новостей? Жми! 
Рейтинг@Mail.ru