Эксперты выявили уязвимости в приложениях для заказа такси

Эксперты протестировали 30 мобильных приложений из категории «Такси». Для оценки уровня безопасности приложения проверялись по следующим критериям: запрашиваемые доступы, наличие трекеров активности и безопасность передачи данных. Также специалисты проводили захват всего трафика, пересылаемого приложениями, с помощью программы Wireshark, а затем анализировали его на наличие незашифрованных данных. Все выявленные уязвимости рассматривались как потенциальные угрозы, но это не исключает возможности их использования злоумышленниками. Основная задача трекеров — отслеживание действий пользователей для аналитики и улучшения продукта. Однако данные из трекеров сначала поступают в компанию-разработчика ПО и только затем к создателям самих приложений, что увеличивает риск утечки информации и требует от разработчиков особой внимательности в выборе поставщика аналитических инструментов. Из 30 исследованных приложений 11, например, BiTaksi и Taxsee, содержат встроенные трекеры от корпорации Google и несколько трекеров от менее крупных компаний, три из этих 11 приложений также имеют трекеры от Facebook (деятельность компании Meta Platforms Inc. по реализации социальных сетей Facebook и Instagram признана экстремистской и запрещена на территории РФ). Семь наиболее популярных приложений из рейтингов AppStore и Google Play такие как «Яндекс Go», Maxim и «Таксовичкоф», показали ожидаемо высокий уровень защиты: весь трафик был зашифрован, а запрашиваемые доступы минимальны и обоснованы. В отличие от них, остальные 23 приложения запрашивали значительно больше доступов, многие из которых можно охарактеризовать как избыточные и необоснованные. Например, приложения «BiBi такси» и «AltoCar» запрашивали права на изменение или удаление данных на общем накопителе, в то время как «drivee» требовало права на изменение сетевых настроек, а «Bolt» запрашивало доступ к управлению NFC-модулем. Еще более настораживает, что приложение «Такси Анжи» запрашивало просмотр контактов, не предоставляя исчерпывающих объяснений для таких разрешений. Но наибольшую обеспокоенность у специалистов вызвала группа из десяти приложений, таких как «Такси Инфинити», «Такси Белое», «Такси Пилот», «Мегаполис», которые принадлежат локальным таксопаркам и работают в строго ограниченном списке не самых крупных городов России. Все они имеют идентичные проблемы с безопасностью и передают определенные данные, такие как ID и ключ приложения, ID устройства и другие параметры, в незашифрованном виде. Эти уязвимости могут позволить злоумышленникам подключиться к сессии пользователя без прохождения проверок безопасности и завладеть конфиденциальной информацией, такой как маршруты и время передвижения, домашние адреса, способы оплаты и даже переписка с водителями. Выявленные уязвимости показывают важную тенденцию: крупные, хорошо зарекомендовавшие себя приложения, такие как «Яндекс Go», Maxim и «Таксовичкоф», действительно обеспокоены безопасностью данных пользователей и минимизацией рисков утечки информации. Однако десять региональных приложений, таких как «Такси Инфинити», «Такси Белое» и другие, демонстрируют серьезные проблемы с безопасностью, при этом все эти приложения выглядят идентично и имеют одни и те же критические уязвимости. Это говорит о том, что, несмотря на различия в интерфейсах и позиционировании, они, вероятно, созданы по одному шаблону с помощью конструктора или услуг конкретного разработчика, что открывает возможность для масштабных кибератак на пользователей. Также, исследование показало, что приложения из топ-чартов магазинов, такие как «DiDi», «TaxiF» и «inDrive», которые ранее были доступны в России, но теперь удалены, все еще фигурируют в рекомендациях и могут оставаться на устройствах пользователей, представляя собой потенциальные риски в случае отсутствия обновлений.