В каршеринговых приложениях найден ряд недостатков безопасности

Олег Иванов 31 Июля 2018 - 15:42

...

В каршеринговых приложениях найден ряд недостатков безопасности

Исследователи «Лаборатории Касперского» проверили безопасность 13 приложений для каршеринга, разработанных различными производителями со всего мира. В результате эксперты обнаружили, что все протестированные сервисы содержат ряд потенциальных киберугроз.

Получив несанкционированный доступ к аккаунту, злоумышленники могут ездить на автомобиле за чужой счёт, угонять транспортное средство, разбирать его на запчасти или отслеживать передвижения пользователя. Вероятен даже такой сценарий, при котором украденные персональные данные могут распространяться на чёрном рынке.

По данным «Лаборатории Касперского», мошенники уже занимаются продажей аккаунтов каршеринговых служб. Спрос на подобный товар существует среди тех, кто не имеет водительского удостоверения или кому службы безопасности приложений отказали в регистрации.

Список потенциальных киберугроз, обнаруженных специалистами «Лаборатории Касперского», включает:

Отсутствие защиты от атак типа «человек посередине». В случае возникновения подобного киберинцидента пользователь считает, что он подключен к легитимному сервису, однако трафик фактически перенаправляется через сайт злоумышленников, позволяя им собирать любые личные данные, введённые жертвой (логин, пароль, PIN-код и так далее).
Отсутствие защиты от обратной разработки. В результате её проведения киберпреступники могут понять, как приложение работает, и найти уязвимость, которая позволит им получить доступ к серверной инфраструктуре.
Отсутствие методов, которые позволяют обнаружить предоставление устройством прав суперпользователя. Такие права открывают практически безграничные возможности перед злоумышленниками, получившими доступ к гаджету.
Отсутствие защиты от наложения приложений. Подобная уязвимость позволяет вредоносным приложениям отображать фишинговые окна и красть учётные данные пользователя.
Менее половины приложений требуют от пользователя введения надёжного пароля, что значит: в большинстве случаев киберпреступники могут атаковать жертву с помощью простого сценария подбора PIN-кода.

«В результате исследования мы пришли к выводу о том, что сегодня приложения для каршеринга в большинстве своём ещё не полностью готовы противостоять вредоносным программам. Пока мы не выявили случаев изощрённых кибератак на эти сервисы, ценность которых, однако, уже осознают киберпреступники. Существование соответствующих предложений на чёрном рынке демонстрирует, что у разработчиков не так много времени для устранения обнаруженных уязвимостей», – отметил Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского».

Исследователи «Лаборатории Касперского» советуют пользователям каршеринговых приложений придерживаться следующих правил:

не оставляйте в открытом доступе номер телефона и адрес электронной почты;
заведите для оплаты каршеринга отдельную банковскую карту и не храните на ней больше денег, чем на самом деле необходимо;
если каршеринговый сервис неожиданно присылает SMS-сообщение с PIN-кодом от аккаунта, сообщите об этом в службу безопасности и отвяжите от этого аккаунта банковскую карту;
вовремя обновляйте операционную систему устройств;
установите проверенное защитное решение на устройство.

«Лаборатория Касперского» уведомила разработчиков приложений о выявленных уязвимостях.

В конце мая Solar Security обнаружила проблемы безопасности в приложениях каршеринга.

Следующая главная новость »

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!

Екатерина Быстрова 14 Мая 2026 - 16:35

iOS Домашние пользователи

Воры охотятся за разблокированными iPhone: они стоят на $800 дороже

В крупных городах всё чаще крадут iPhone прямо из рук; обычно на ходу, с самокатов или электровелосипедов. Схема простая и дерзкая: подъехать, выхватить смартфон у прохожего и скрыться, пока владелец ещё пытается понять, что вообще произошло.

Главная цель таких краж — не просто сам iPhone, а именно разблокированный iPhone.

По данным Wired, такой аппарат может стоить для преступников на сотни долларов дороже заблокированного. Если обычный украденный смартфон с блокировкой оценивают примерно в $50–200, то разблокированный может стоить $500 или даже $1000.

Причина понятна: открытый телефон — это не просто железка, а потенциальный доступ к личным данным, перепискам, почте, платёжным сервисам и банковским приложениям. Да, финансовые приложения обычно требуют Face ID или пароль, но мошенники не сидят сложа руки: они запускают фишинговые атаки и пытаются выманить логины, пароли и код доступа к устройству.

В Лондоне проблема уже достигла промышленных масштабов. Во время одной из операций полиция задержала 230 человек и изъяла больше тысячи украденных телефонов всего за неделю. Раньше преследования на улицах ограничивали из-за риска для самих воров, но затем подход ужесточили: полицейским разрешили применять тактический контакт, фактически сбивая преступников с байков.

Отдельный бизнес вырос вокруг фишинга. Покупатели украденных iPhone используют поддельные страницы Apple Find My, чтобы заставить владельца ввести код доступа. Если жертва клюёт, преступники могут снять Activation Lock и продать устройство уже как рабочее.

Для этого применяются целые наборы фишинговых инструментов: сервисы формата «Find My iPhone Off», генераторы поддельных страниц Apple, скрипты и даже ИИ-звонки. Исследователи также обнаружили ПО iRealm, которое создаёт фишинговые ссылки и страницы под сервисы Apple. Такие инструменты продаются по модели pay-per-use — украл, оплатил, обманул, перепродал.

Часть подобных сервисов продвигалась через телеграм-каналы. После обращения журналистов Telegram удалил несколько групп, рекламировавших такие инструменты.

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!