Эксперты выявили уязвимости в приложениях для заказа такси
Эксперты Центра цифровой экспертизы Роскачества протестировали 30 мобильных приложений из категории «Такси». Для оценки уровня безопасности приложения проверялись по следующим критериям: запрашиваемые доступы, наличие трекеров активности и безопасность передачи данных.
Также специалисты проводили захват всего трафика, пересылаемого приложениями, с помощью программы Wireshark, а затем анализировали его на наличие незашифрованных данных. Все выявленные уязвимости рассматривались как потенциальные угрозы, но это не исключает возможности их использования злоумышленниками.
Справочно: Основная задача трекеров — отслеживание действий пользователей для аналитики и улучшения продукта. Однако данные из трекеров сначала поступают в компанию-разработчика ПО и только затем к создателям самих приложений, что увеличивает риск утечки информации и требует от разработчиков особой внимательности в выборе поставщика аналитических инструментов.
Результаты исследования
Из 30 исследованных приложений 11, например, BiTaksi и Taxsee, содержат встроенные трекеры от корпорации Google и несколько трекеров от менее крупных компаний, три из этих 11 приложений также имеют трекеры от Facebook (деятельность компании Meta Platforms Inc. по реализации социальных сетей Facebook и Instagram признана экстремистской и запрещена на территории РФ).
Семь наиболее популярных приложений из рейтингов AppStore и Google Play такие как «Яндекс Go», Maxim и «Таксовичкоф», показали ожидаемо высокий уровень защиты: весь трафик был зашифрован, а запрашиваемые доступы минимальны и обоснованы.
В отличие от них, остальные 23 приложения запрашивали значительно больше доступов, многие из которых можно охарактеризовать как избыточные и необоснованные. Например, приложения «BiBi такси» и «AltoCar» запрашивали права на изменение или удаление данных на общем накопителе, в то время как «drivee» требовало права на изменение сетевых настроек, а «Bolt» запрашивало доступ к управлению NFC-модулем. Еще более настораживает, что приложение «Такси Анжи» запрашивало просмотр контактов, не предоставляя исчерпывающих объяснений для таких разрешений.
Но наибольшую обеспокоенность у специалистов вызвала группа из десяти приложений, таких как «Такси Инфинити», «Такси Белое», «Такси Пилот», «Мегаполис», которые принадлежат локальным таксопаркам и работают в строго ограниченном списке не самых крупных городов России. Все они имеют идентичные проблемы с безопасностью и передают определенные данные, такие как ID и ключ приложения, ID устройства и другие параметры, в незашифрованном виде. Эти уязвимости могут позволить злоумышленникам подключиться к сессии пользователя без прохождения проверок безопасности и завладеть конфиденциальной информацией, такой как маршруты и время передвижения, домашние адреса, способы оплаты и даже переписка с водителями.
Выявленные уязвимости показывают важную тенденцию: крупные, хорошо зарекомендовавшие себя приложения, такие как «Яндекс Go», Maxim и «Таксовичкоф», действительно обеспокоены безопасностью данных пользователей и минимизацией рисков утечки информации.
Однако десять региональных приложений, таких как «Такси Инфинити», «Такси Белое» и другие, демонстрируют серьезные проблемы с безопасностью, при этом все эти приложения выглядят идентично и имеют одни и те же критические уязвимости. Это говорит о том, что, несмотря на различия в интерфейсах и позиционировании, они, вероятно, созданы по одному шаблону с помощью конструктора или услуг конкретного разработчика, что открывает возможность для масштабных кибератак на пользователей.
Также, исследование показало, что приложения из топ-чартов магазинов, такие как «DiDi», «TaxiF» и «inDrive», которые ранее были доступны в России, но теперь удалены, все еще фигурируют в рекомендациях и могут оставаться на устройствах пользователей, представляя собой потенциальные риски в случае отсутствия обновлений.
Сергей Кузьменко, руководитель Центра цифровой экспертизы Роскачества: «Популярные приложения для заказа такси показали достойный уровень в вопросе безопасности передачи данных: они не требуют лишних доступов и не злоупотребляют трекерами. Однако на региональном уровне существует глобальная проблема: присутствует некий разработчик или конструктор, услугами которого пользуются таксопарки в регионах. Несмотря на то, что в магазинах приложений они числятся под разными разработчиками, создавались они по одному шаблону и имеют одни и те же уязвимости. Эти уязвимости потенциально могут оказаться критическими и представляют серьезную угрозу конфиденциальности данных. Пользователям рекомендуем быть особенно осторожными при установке региональных приложений и внимательно следить за предоставляемыми доступами, а разработчикам — пересмотреть подходы к защите данных и убедиться в отсутствии подобных уязвимостей, чтобы исключить риски утечки личной информации».