Каршеринг қосымшалары кибершабуылдардан нашар қорғалған

«Касперский Зертханасының» сарапшылары каршерингке арналған 13 мобильдік қосымшалардың қауіпсіздігін бағалады.Барлық зерттелген сервистер зиянкестерге есептік деректерді ұстап қалуға және басқа біреудің атынан жалдау қызметтерін пайдалануға мүмкіндік беретін шабуылдардың бірнеше түріне осал болып шықты.

Зерттеу жүргізудің себебі каршерингтің белгіліге айналу нәтижесінде зиянкестердің сервиске құзығушылық білдіре бастауы болды. Клиенттер үшін ең кеңінен таралған қатерлердің бірі - аккаунтты ұрлау. Атап айтқанда, қылмыскерлер есептік деректерді кейін жасырын алаңдарда сату үшін ұрлайды.

Ұрланған мәліметтердің құны 1500 - 5000 рубль аралығында өзгеруде. Осындай саудагерлердін негізгі клиенттері – осы немесе өзге сервисте бұғаттанған пайдаланушылар және жүргізуші куәлігі жоқ жасөспірім азаматтар.

Бұдан басқа, жалға алынған автомобильдерді бөлшектеп сату да аз емес. Мұндай жағдайда бөтен аккаунтты пайдалану ұрлықшыларға ізін білдірмеуге мүмкіндік береді. Ақыр соңында, есептік жазбаны бұзып, құрбанға қатысты тыңшылық жүргізуге, машина салонынан заттар ұрлауға немесе басқа да құқыққа қайшы іс-қимылдар жасауға болады.

«Касперский Зертханасының» талдаушылары шабуылдардың кейбір белгілі түрлерінен қосымшалардың қорғалуын тексерді. Бірінші тест реверс-инжинирингтен қорғауға арналды. Бұл техника бұзушыларға бағдарлама мен басқарушы сервері арасында трафикті ұстап қалуға, сондай-ақ жүйелік деректерге қолжетімділік алуға мүмкіндік береді. Зерттеушілер 13 өнімнің 12-не аталған әдісті қолдана алды.

Одан әрі мамандар есептік деректерді қорғау механизмін зерттеді. Көптеген қосымшалар телефон бойынша авторлануды ұсынып, еркін логинді таңдауға мүмкіндік бермейді. Оны білу қиын емес, соның ішінде көптеген жағдайларда пайдаланушылар өзінің нөмірін әлеуметтік желілерде өздері көрсететіні себепті.

Телефон нөмірін біліп, қылмыскерлер оған келетін авторлану кодын да ұстап қалуға қабілетті. Мұны SS7 хаттамасының осалдығы арқылы немесе виртуалды SIM-картаның көмегімен жасауға болады. Бұдан басқа, әзірлеушілер пароль ретінде осал құрамдастырымдарды жиі пайдаланады. Нәтижесінде брутфорс-шабуылының көмегімен құпия деректерге қол жеткізуге болады.

Сонымен қатаралаяқтар парольді нақты терезенің сыртынан пайда болатын жасанды енгізу жолдарының көмегімен біле алады – мұндай элементтер енгізілген ақпаратты жасырын түрде ұстап қалады. Зерттеушілер ескірген Android ОЖ басқаруындағы смартфондардың иеленушілеріне ерекше қатер төнетінін ескертеді – соңғы нұсқалары пайдаланушылық деректерге қажетсіз қол жеткізуден қорғалған.

Каршеринг сервистерін әзірлеушілер орын алатын мобильдік қатерлерді жақсы білмейді, деп тұжырымдайды есептің авторлары. Оны дизайн мәселелерімен қатар инфрақұрылым деңгейінде де байқауға болады. Бұл ретте бағдарламашылар кодтың үзінділерін жиі тұтаскөшіретініне байланысты әртүрлі қосымшаларда ұқсас қателер кездеседі.

Мамандар автомобильдерді жалға беру қызметтерінің клиенттеріне үлкен сомаларға қауіп төндірмеу үшін есептесулер жүргізуге жеке карта ашуға кеңес береді. Сондай-ақ, сервистің атынан қосымшаны құрушыларға күдікті СМС-тер туралы хабарлау және хабарламаларды ұстауға мүмкіндік бермейтін вирусқа қарсы құралдар пайдалану ұсынылады.

Ақпарат көзі: threatpost.ru