"Лаборатория Касперского": каршеринговые приложения могут содержать киберугрозу

Исследователи "Лаборатории Касперского" проверили безопасность 13 приложений для каршеринга и обнаружили, что все протестированные сервисы содержат ряд потенциальных киберугроз. Получив доступ к аккаунту, злоумышленники могут ездить на автомобиле за чужой счет, угонять транспортное средство, разбирать его на запчасти или отслеживать передвижение пользователя, говорится в сообщении компании.

Специалисты "Лаборатории Касперского" обнаружили отсутствие защиты от атак типа "человек посередине". В случае возникновения подобного киберинцидента пользователь считает, что он подключен к легитимному сервису, однако трафик фактически перенаправляется через сайт злоумышленников, позволяя им собирать любые личные данные. Также отсутствует защита от обратной разработки. В результате ее проведения киберпреступники могут понять, как приложение работает, и найти уязвимость, которая позволит им получить доступ к серверной инфраструктуре.

Кроме того, нет методов, которые позволяют обнаружить предоставление устройством прав суперпользователя, и нет защиты от наложения приложений. Подобная уязвимость позволяет вредоносным приложениям отображать фишинговые окна и красть учетные данные пользователя.

Также менее половины приложений требуют от пользователя введения надежного пароля, то есть в большинстве случаев киберпреступники могут атаковать жертву с помощью простого подбора ПИН-кода.

По словам Виктора Чебышева, антивирусного эксперта "Лаборатории Касперского", сегодня приложения для каршеринга еще не полностью готовы противостоять вредоносным программам. Существование соответствующих предложений на черном рынке демонстрирует, что у разработчиков не так много времени для устранения обнаруженных уязвимостей.

"Лаборатория Касперского" уведомила разработчиков приложений о выявленных уязвимостях.