События

Приложения от каршеринговых компаний позволяют угнать автомобиль

Эксперты «Лаборатории Касперского» проанализировали более десятка мобильных приложений от каршеринговых компаний (сдающих в аренду автомобили), и обнаружили серьезные уязвимости, с помощью которых злоумышленники могут похитить персональную информацию и даже угнать автомобиль.

Специалисты изучили тринадцать Android-приложений, используемых в США, Европе и России и загруженных из Google Play свыше 1 млн раз. По словам экспертов, приложения от каршеринговых компаний могут заинтересовать киберпреступников по целому ряду причин. К примеру, они могут взломать учетную запись легитимного пользователя и ездить на машине за его счет, угнать машину или использовать ее в преступных целях. Кроме того, злоумышленники могут следить за передвижениями пользователя и получить доступ к его персональным данным.

Вышеописанные сценарии возможны пока только в теории, однако, как отметили в ЛК, киберпреступники уже продают взломанные учетные записи клиентов каршеринговых компаний. Продавцы рекламируют свой товар, уверяя, что с его помощью покупатель получит целый ряд возможностей, в том числе возможность водить автомобиль без водительских прав.

В ходе исследования эксперты ЛК прежде всего проверили, возможно ли осуществить реверс-инжиниринг приложений и можно ли их выполнить с правами суперпользователя. Возможность осуществить реверс-инжиниринг позволяет злоумышленникам создавать вредоносные версии приложений. Обладая правами суперпользователя устройства, хакеры могут похитить конфиденциальную информацию.

Как оказалось, из всех исследуемых приложений защита от реверс-инжиниринга была реализована только в одном, однако защита от выполнения с правами суперпользователя в нем все равно отсутствовала. Тем не менее, приложение шифровало данные, что усложняло задачу киберпреступникам даже с правами суперпользователя.

Далее исследователи взялись за пароли, используемые в приложениях от каршеринговых компаний. В большинстве случаев компании предоставляли своим клиентам слабые пароли или одноразовые короткие верификационные коды. Ненадежные пароли вкупе с неограниченным числом попыток их ввода позволяют злоумышленникам осуществить брутфорс-атаку и подобрать пароль или код.

Исследователи не привели названия ни одного из проанализированных приложений. Однако по их словам, приложения от американских и европейских компаний являются более защищенными по сравнению с российскими.

Подробнее с исследованием экспертов ЛК можно ознакомиться здесь .

Источник

Автор: Сергей Куприянов
26.07.2018 (09:47)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.