Более чем в десяти приложений от каршеринговых фирм существуют серьёзные уязвимости, позволяющие злоумышленникам получать доступ к личным данным пользователей и даже угнать авто. К таким выводам пришли специалисты «Лаборатории Касперского».
Эксперты рассмотрели 13 мобильных приложений от компаний, предоставляющих услуги каршеринга. Данные приложения были загружены из Google Play более 1 000 000 раз, их используют жители России, США и Европы.
Исследование показало, что выявленные уязвимости позволяют киберпреступникам взламывать учётные записи клиентов и арендовать машину за его счёт. Кроме того, хакеры могут отследить передвижение пользователя или украсть его личные данные.
В ЛК отметили, что пока подобные киберпреступления не практикуются, однако злоумышленники уже сейчас продают взломанные аккаунты клиентов каршеринговых фирм. Также эксперты проверили, можно ли осуществить реверс-ижиринг: за счёт такой возможности хакеры могут разрабатывать вредоносные копии приложений. При этом права суперпользователя позволяют злоумышленникам похищать персональную информацию.
Оказалось, что только одно приложение имело защиту от реверс-инжиринга, при этом защита от получения прав суперпользователя в нём отсутствовала. Помимо этого, компании в большинстве случаев предоставляли слабые пароли своим клиентам.