Безопасны ли приложения каршеринга?

Популярность каршеринга, то есть краткосрочной аренды автомобилей, растет год от года. Секрет успеха очень прост – это сервис оказался действительно удобным и выгодным для миллионов людей. В отличии от традиционного автопроката, каршеринг позволяет взять машину в аренду буквально на несколько минут, причем в любое время суток и практически в любой точке города.

Быстрое развитие каршеринга во многом связано с развитием мобильных технологий, ростом скорости мобильного интернета: услуги каршеринга предоставляются с помощью мобильных приложений, позволяющих найти свободный автомобиль, разблокировать его, получить подробную информацию о тарифах и условиях работы с сервисом. Поэтому, выбирая сервис каршеринга, пользователи в первую очередь выбирают соответствующее мобильное приложение.

Функциональность

Группа параметров, характеризующих функциональные возможности сервисов, получила наибольший вес в итоговой оценке, как одна из наиболее важных. В рамках этой группы была проведена оценка 16 параметров, включая:

• Привязка нескольких банковских карт
• Выбор модели автомобиля
• Сохранение истории поездок
• Карта АЗС
• Информация о тарифах

По результатам исследования наилучшие функциональные возможности оказались в мобильном приложении Карусель. Немного менее функциональными оказались BelkaCar и Anytime. Наименьшее количество возможностей предоставляет своим пользователям приложение CAR5.

Удобство использования

Приложение BelkaCar оказалось наиболее удобным, простым и понятным в использовании. Также высокие балы по этим параметрам получили Яндекс.Драйв, CAR5, Matreshcar, TimeCar и RENTMEE. Наиболее неудобным было признано приложение Anytime, но это лишь из-за отсутствия раздела «Помощь», само по себе приложение вполне дружелюбно к пользователю.

Безопасность

Используя специальное программное обеспечение, эксперты лаборатории проверили наличие уязвимостей в приложениях. Также была проведена оценка безопасности передачи данных и обработки персональной информации. Победителями в этой номинации стали Делимобиль и Яндекс.Драйв.

Наличие GPS-маяка в прокатном автомобиле также является важным фактором безопасности – как для сервиса каршеринга, так и для пользователя. Но этот параметр относится к самому сервису, а не к мобильному приложению, поэтому он в исследовании не учитывался.

Итоговая оценка

Исходя из результатов исследования, лучшими приложения сервисов каршеринга были названы BelkaCar, Карусель и Делимобиль. При этом у различных приложений есть свои уникальные достоинства, которые вполне могут повлиять на выбор пользователей:

1. Самые мягкие требования к пользователю при заключении договора: Карусель и Anytime (пользователь должен быть старше 19 лет и иметь не менее 1 года водительского стажа)
2. Самый разнообразный парк автомобилей: YouDrive (предлагает пользователю выбор из 21 модели)
3. Самая низкая стоимость: Anytime и Делимобиль (в период с 6 утра до полудня – 3 рубля за минуту аренды)
4. Самая широкая география обслуживания: Делимобиль (9 городов – Москва, Санкт-Петербург, Краснодар, Уфа, Новосибирск, Нижний Новгород, Грозный, Самара, Екатеринбург)

Больше информации о результатах исследований на слайдах от Роскачества.

А зачем вообще угонять аккаунт в каршеринге?

Ответ очевиден — чтобы его продать. Причем за неплохие деньги: угнанные учетные записи в соцсетях и взломанные емейлы стоят копейки, а вот цены на краденые аккаунты в системах каршеринга достаточно высоки — от $18.

Продажа взломанных аккаунтов в различных сервисах каршеринга и расценки на них

Кто же будет их покупать? Например, любители прокатиться с ветерком за чужой счет. Оплачивать штрафы и потенциальный ущерб, не говоря уже о самой стоимости поездки, придется законному владельцу аккаунта. Конечно, веселье может быстро кончиться, если пользователь внимательно следит за историей поездок. Но если повезет, угон обнаружится не сразу.

Другая категория потенциальных покупателей — те, кому в сервисы каршеринга вход заказан — молодые люди, не достигшие 21 года, лица без достаточного стажа за рулем или вообще без водительских прав. Наконец, те, кого в сервисах каршеринга уже забанили за многочисленные нарушения.

Дельцы в красках расписывают перед потенциальными клиентами все преимущества своего товара. Например, взяв в прокат машину под чужим аккаунтом, можно натворить бед и не понести за это ответственность. Все ДТП и причиненный автомобилю урон скорее всего лягут на плечи жертвы взлома. Как вариант, машину можно отогнать подальше от любопытных глаз и там быстренько распилить на запчасти.

Краш-тесты во сне и наяву

У каршеринга есть важное отличие от других сервисов: если ваш аккаунт взломают, вы можете не только расстаться с той или иной суммой сразу, но еще и должны останетесь. Сервису — за ущерб, причиненный автомобилю, и государству — штрафы за те нарушения, которых вы не совершали. Если сумма будет приличная — то недалеко и до судебных приставов, запрета выезда за границу и прочих радостей.

Но ведь по идее, разработчики приложений тоже это понимают, а потому стоят на страже клиентов и их данных и все как следует защищают? К сожалению, с этим все не так здорово, как хотелось бы. Наши эксперты изучили Android-приложения 13 сервисов каршеринга. Приложения проверялись по четырем возможным направлениям атаки:

• Перехват данных, которыми приложение обменивается с сервером.
• Подбор автоматически выданных паролей.
• Перекрытие интерфейса приложения фальшивым окном.
• Запуск на рутованных устройствах и внедрение вредоносного кода.

Описание Приложения

Зарегистрировавшись в нескольких сервисах каршеринга, бывает трудной найти ближайшую машину. Приходится последовательно открывать приложения каршеринг операторов и анализировать чей автомобиль с заданными параметрами находится ближе.

Наше приложение помогает решить данную проблему. У нас на одной карте отображены все доступные каршеринг автомобили в Москве от компаний: YouDrive, BelkaCar, Anytime, Car5 и EasyRide.

Можно одним взглядом понять, машина какой компании находится рядом с Вами.

Помимо каршеринг компаний работающих в Москве, приложение также показывает расположение автомобилей в Санкт-Петербурге (от компаний Youdrive, Colesa), в Краснодарском крае (от Sharemobil и Urencar), в Уфе (от компании MaturCar) и в городе Минск (от компании DriveTime).

Машины каршеринга Делимобиль скрыты с карты по просьбе компании.

Описание для Московский Каршеринг

Мы создали удобное приложение, с помощью которого вы можете найти ближайшую машину каршеринга.

Доступные операторы:
Delimobil (Делимобиль)
YouDrive (Юдрайв)
Car5 (Кар5)
Anytime (Anytimecar)
Easy Ride
Rentmee
Carenda (Каренда)
Карусель
Lifcar (Лифкар)
Timcar (Тимкар)
Matreshcar (Матрешкар)
Белка кар — нет

В ближайшем будущем для вас будет доступен весь каршеринг Москвы, в том числе и новые столичные сервисы проката автомобилей: FlexCar (Флекc кар), Flash cars, Carlion (карлион) ,Car4you, Matreshcar и Яндекс каршеринг Драйв.

Московский транспорт не всегда может обеспечить быстрое перемещение по городу из точки А в точку Б. Именно поэтому были созданы сервисы проката автомобилей. Каршеринг — новый вид общественного транспорта Москвы, который является отличной альтернативой такси. Carsharing — это краткосрочная аренда авто для поездок по городу.

Сервисов для аренды авто много, а пользоваться сразу несколькими приложениями не удобно. Тут приходит на помощь «Московский каршеринг».

Внутри приложения вам доступна карта, где отображается весь московский каршеринг. Есть возможность воспользоваться фильтрами, чтобы выбрать один сервис проката автомобиле, напрмиер Delimobil (Делимобиль) или уточнить местоположение свободных для аренды авто из нескольких carsharing сервисов сразу.

Защита от перекрытия

В целом, если заразить Android-устройство малварью, то любые проблемы с доступом к чему-либо можно решить гораздо быстрее и эффективнее: «авторизационное» SMS-сообщение можно перехватить и мгновенно авторизоваться на другом устройстве с его помощью. Если же проблема заключается в сложном пароле, то можно перехватить запуск приложения, показав поверх его интерфейса поддельное окно с полями ввода логина и пароля.

Выяснилось, что ни одно из рассмотренных специалистами приложений подобным действиям противодействовать не может. Хуже того, если же версия ОС достаточно стара, злоумышленник также может выполнить эскалацию привилегий и, в ряде случаев, извлечь все нужные данные.

Эксперты резюмируют, что проблемы каршеринговых приложений очень похожи на проблемы приложений для управления подключенными автомобилями (connected cars).

«Складывается впечатление, что у разработчиков нет понимания текущих угроз для мобильных платформ как при проектировании приложений, так и при создании инфраструктуры. Неплохо было бы расширить функции по оповещению пользователя о подозрительных действиях — на данный момент только один сервис отправляет пользователю оповещение о том, что в его аккаунт пытаются зайти с другого устройства. Большинство из рассмотренных нами приложений сырые с точки зрения безопасности и нуждаются в доработке. Более того, многие программы не просто очень похожи друг на друга, но и вовсе основаны на одном и том же коде.

Российским операторам каршеринга стоит кое-чему поучится у зарубежных коллег: например, один из крупных игроков на рынке краткосрочной аренды, предоставляет доступ к машине с помощью специальной карты, что хоть и снижает удобство пользования сервисом, но зато существенно повышает безопасность», — подытожили аналитики.

Перехват данных aka «атака посредника»

Обмен данными между приложением и сервером выглядит как сделка на фондовом рынке: каждая сторона проверяет, можно ли доверять собеседнику и доказывает, что у нее тоже нет скрытых мотивов. В частности, сервер должен предъявлять сертификат, подтверждающий его безопасность.

Однако наши эксперты неприятно удивились, когда узнали, что ни одно из приложений не утруждает себя проверкой этих сертификатов. Подменив сертификат, можно перехватить те данные, которыми каршеринговые приложения обмениваются с серверами — и выудить из них логин и пароль. Например, риск угона аккаунта существует, если пользоваться каршеринговым приложением в незащищенной Wi-Fi сети.

Подбор сгенерированных паролей

В идеальном мире пользователи сами выбирают себе логин пооригинальнее и пароль позабористее. Ну, по крайней мере, имеют возможность это сделать. Реальность более сурова: половина протестированных каршеринговых приложений не дает этого сделать и сама при этом не блещет креативностью:

• в качестве логина использует телефонный номер,
• в качестве пароля использует короткий ПИН-код, присланный в SMS.

Чем плох номер телефона в качестве логина? Его достаточно легко узнать: часто пользователи забывают скрыть контакты в социальных сетях, а найти там клиента каршеринга можно по хэштегам и фотографиям. Узнав ваш номер, злоумышленник способен перехватить и СМС. Впрочем, учитывая, насколько «сложные» ПИН-коды придумывают приложения, ему и это не потребуется.

ПИН-код из четырех цифр — явно недостаточно надежная защита аккаунта, кража которого может обойтись в десятки тысяч рублей

К примеру, один из сервисов высылает в качестве кода подтверждения комбинацию из четырех цифр. Таких комбинаций существует всего 10 000. Может показаться, что это много — но только если перебирать вручную. Программа для перебора справится с этой задачей очень быстро. Наши эксперты исследовали это направление атаки, забросав сервер приложения запросами с вариантами кодов. Их должны были заблокировать или хотя бы прислать извещение о подозрительных действиях с аккаунтом. Но ничего подобного не произошло.

Судя по всему, разработчики посчитали, что двухминутный «срок годности» ПИН-кода обеспечивает достаточную защиту. Однако в действительности даже за эти 120 секунд злоумышленники могут найти нужные цифры. Тем более, что количество попыток не ограничено.

Запуск на рутованных устройствах и внедрение вредоносного кода

Создатели вредоносных приложений очень любят «рутованные» смартфоны и планшеты. Оно и немудрено — права суперпользователя дарят практически неограниченные возможности для работы с устройством, и как следствие, открывают множество лазеек в системе безопасности. В частности, позволяют внедриться в процесс приложения для каршеринга и украсть все необходимые данные.

Некоторые пользователи сами взламывают свои устройства, чтобы иметь больше возможностей, а другие могут даже не подозревать о том, что их смартфон зарутован — существуют зловреды, которые умеют это делать без ведома хозяина устройства.

Еще один способ заполучить ваши логин и пароль, не копаясь в соцсетях в поисках доступных контактов — расковырять исходный код приложения и вставить туда функции, выгодные злоумышленникам. А затем выложить его в официальный магазин с каким-нибудь похожим названием, чтобы люди сами его скачивали и вводили в него свои данные.

Лишь одно приложение из 13 участвовавших в исследовании, дало хоть какой-то отпор по этим фронтам, и то — недостаточный. Она не запустится с измененным кодом, но если злоумышленник получит root-права на вашем устройстве, он получит и доступ к данным (к счастью, зашифрованным).

Перекрытие интерфейса и перехват SMS

Самый простой способ украсть учетные данные у владельца зараженного смартфона — это либо перехватить SMS с пин-кодом, либо перекрыть интерфейс легитимного приложения каршеринга очень похожим поддельным окном. К сожалению, защитой от перехвата SMS и поддельных окон авторизации разработчики протестированных приложений не озаботились вообще.

Поэтому злоумышленник легко выудит логин и пароль пользователя любой из этих программ с помощью зловреда, располагающего такой функцией. Описанные техники уже успешно освоены создателями банковских троянцев. Все, что потребуется потенциальным злоумышленникам — это адаптировать их под дизайн нового типа приложений.

Подробнее об этих атаках можно почитать в тексте о приложениях для управления автомобилями: те тоже им подвержены.

Каршеринг без опасности: как защититься

Конечно, исправить ошибки разработчиков пользователю не под силу, но все-таки обезопасить себя от мошенников можно и нужно:

• Не оставляйте в открытом доступе номер телефона и адрес электронной почты, к которым привязана учетная запись каршеринга.
• Старайтесь не пользоваться приложениями каршеринга при подключении к небезопасным Wi-Fi сетям. Используйте защиту соединения — VPN, она поможет избежать кражи данных.
• Следите за историей поездок и платежей. Если заметите какую-то подозрительную активность — немедленно свяжитесь со службой поддержки каршерингового сервиса.
• При получении внезапной SMS с ПИН-кодом для входа в приложение каршеринга также немедленно сообщите об этом в службу поддержки.
• Используйте защитное решение, которое обезопасит ваше устройство от вредоносных программ. Это осложнит жизнь не только любителям бесплатной езды, но и тем, кого интересует, скажем, ваш банковский счет.

Смотрите видео: Аренда,кредит или выкуп,Авто для такси,работа без на вопросы #1 (1/3)