Роскачество: 76,7% приложений для заказа такси имеют проблемы с защитой персональных данных

от автора

Удобство использования сервисов для вызова такси сопровождается рисками, связанными с безопасностью и конфиденциальностью персональной информации. К такому выводу пришли специалисты по кибербезопасности Центра цифровой экспертизы Роскачества. Они изучили 30 таких мобильных приложений. Из них 23 запрашивали данные, многие из которых аналитики сочли избыточными и необоснованными, пишет «Парламентская газета».

Оценку того или иного приложения специалисты по кибербезопасности ставили на основе нескольких показателей. Это:

  • запрашиваемые доступы

  • наличие трекеров активности

  • безопасность передачи данных

В программе Wireshark также анализировали весь трафик, пересылаемый приложениями. Затем выясняли, какие в нём незашифрованные сведения.

«Обнаруженные уязвимости рассматривали как потенциальные угрозы, что не исключает возможности использования их злоумышленниками», — рассказали «Парламентской газете» в пресс‑службе Роскачества.

Главная задача трекеров — отследить действия пользователей для аналитики и улучшения продукта, объяснили изданию в ведомстве. Однако данные из трекеров сначала приходят компании‑разработчику программного обеспечения и только потом — создателям приложений. А это, по мнению специалистов, увеличивает риск утечки информации и требует от производителей особой внимательности при выборе поставщика аналитических инструментов.

Из 30 попавших в поле зрения приложений 11, в том числе BiTaksi и Taxsee, имеют встроенные трекеры от Google и несколько — от менее крупных компаний. А три из этих 11 также оснащены трекерами от Facebook*.

«Семь наиболее популярных приложений из рейтингов AppStore и Google Play, такие как „Яндекс Go“, Maxim и „Таксовичкоф“, показали ожидаемо высокий уровень защиты: весь трафик был зашифрован, а запрашиваемые доступы минимальны и обоснованы», — следует из исследования Роскачества.

При этом 23 сервиса, то есть почти 76,7%, требовали значительно больше доступов, многие из которых аналитики считают лишними и необоснованными. Например, BiBi и AltoCar просили о возможности изменения или удаления данных на общем накопителе, Drivee — трансформации сетевых настроек, а Bolt — доступ к управлению NFC‑модулем. Приложение «Такси Анжи» и вовсе хотело бы просматривать контакты без мотивации для этого.

Особенно специалистов насторожили десять приложений, принадлежащих локальным таксопаркам и работающих в не самых крупных городах России. Среди них — «Такси Инфинити», «Такси „Белое“», «Такси „Пилот“», «Мегаполис».

«Все они имеют идентичные и серьёзные проблемы с безопасностью и передают такие данные, как ID и ключ приложения, ID устройства, и другие параметры в незашифрованном виде», — пояснили «Парламентской газете» в пресс-службе Роскачества.

Благодаря этим уязвимостям мошенники могут присоединиться к сессии пользователя без прохождения проверок и завладеть конфиденциальной информацией. Например, о маршрутах и времени передвижения, домашних адресах, способах оплаты и даже перепиской с водителями.


ссылка на оригинал статьи https://habr.com/ru/articles/849334/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *