Приложения для заказа такси могут нести риски для пользователей. Первая и самая очевидная — это утечка персональных сведений и информации о поездках, данных банковских карт человека, которыми могут воспользоваться мошенники, рассказал «Известиям» руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности компании «Газинформсервис» Дмитрий Овчинников.
— Для рядового пользователя это самые критичные данные — с их помощью можно вычислить стандартные маршруты и место проживания. Имея в наличии электронные адреса людей и их данные, можно организовать атаку на почту с последующей кражей аккаунтов в соцсетях и иных сервисах, привязанных к электронной почте. В особо сложных случаях могут утечь данные банковских карт, — рассказывает Овчинников.
Если подобное ПО создано без методологии безопасной разработки, то на него можно совершить атаку типа «атака на цепочку поставок», и тогда вариативность последствий может быть еще больше: начиная от установки стилера и кражи аккаунтов мессенджера и заканчивая взломом онлайн-банка.
— Пока таких прецедентов замечено не было, но, скорее всего, это связано с тем, что базы данных там маленькие, и поэтому их публикации в даркнете не становились достоянием общественности, — говорит собеседник «Известий».
В первую очередь это касается малоизвестных сервисов, поскольку крупные следят за безопасностью своих пользователей, отметил эксперт. Там подобные инциденты маловероятны.
Необоснованный доступ
В начале октября специалисты «Роскачества» проверили 30 мобильных приложений из категории «Такси» — и почти 77% из них оказались небезопасными для пользователей. Результаты исследования есть в распоряжении «Известий».
Эксперты по кибербезопасности обратили внимание на несколько аспектов, включая требования приложений к доступам, наличие трекеров активности и безопасность передачи информации. Также они изучили трафик, пересылаемый приложениями, и незашифрованную информацию.
Как оказалось, 23 из 30 запрашивают больше доступов, чем необходимо. В частности, некоторые приложения могут менять или удалять данные на общем накопителе, внедряться в сетевые настройки или управлять NFC-модулем.
— 11 приложений, например BiTaksi и Taxsee, содержат встроенные трекеры от корпорации Google, три из этих 11 приложений также имеют трекеры от Facebook (принадлежит Meta, признана экстремистской и запрещена в России), — говорится в исследовании. — Некоторые, например «Такси Анжи», запрашивают просмотр контактов, не предоставляя исчерпывающих объяснений для таких разрешений.
Наибольшую обеспокоенность у специалистов вызвали приложения, принадлежащие таксопаркам в небольших городах. Все они создавались по одному шаблону, потому имеют одни и те же уязвимости, которые могут позволить злоумышленникам подключиться к сессии пользователя без прохождения проверок безопасности и завладеть конфиденциальной информацией.
При этом приложения крупных сервисов — таких как «Яндекс Go», «Максим» и «Таксовичкоф» — прошли проверку организации и показали низкий риск утечки информации.
— Популярные приложения не требуют лишних доступов и не злоупотребляют трекерами. Но на региональном уровне есть глобальная проблема, поэтому при установке таких приложений нужно быть осторожнее, — заключил руководитель Центра цифровой экспертизы «Роскачества» Сергей Кузьменко.
Кто создает приложения
Как объясняет «Известиям» председатель Союза пользователей цифровых платформ «Цифровой мир» Валерий Корнеев, малоизвестные приложения для заказа такси занимают лишь небольшую часть рынка. Согласно исследованиям, большая часть пассажиров — 78% — пользуется «Яндексом», остальные 22% делят между собой крупные игроки вроде «Максим», Drive и маленькие сервисы.
По словам эксперта, чаще всего такие приложения создают в регионах, маленьких городах и населенных пунктах. Иногда это делают местные службы такси, но чаще — просто местные предприниматели. Последние стали создавать их после принятия ФЗ №580 «Об организации перевозок пассажиров и багажа легковым такси», который вводит дополнительные регулирования для водителей, — многим стало сложно выполнить условия для того, чтобы попасть в реестр, и пришлось «уйти в тень».
— Сначала водители пользовались чатами в мессенджерах и принимали там заказы, а потом стали делать свои приложения. На коленке, по одному шаблону, который плохо защищен с точки зрения безопасности. А программы могут собирать персональные данные — телефоны, имена, адреса, треки движения пассажира, — рассказывает Корнеев.
Пассажиры пользуются такими приложениями по двум причинам: во-первых, иногда там быстрее вызвать такси, а во-вторых, бывает дешевле. Крупные агрегаторы забирают себе 15–25% от стоимости поездки, а водитель маленького сервиса вполне может сделать клиенту скидку.
— Но пассажир при этом рискует своей безопасностью. И дело не только в приложениях и данных, которые могут утечь. Если в крупном агрегаторе вы знаете, что водитель проверен, видите все его данные, маршрут прослеживается и вы можете в любой момент пожаловаться, здесь этого нет, — заключает Валерий Корнеев.
Работают в таких сервисах обычно либо водители-частники на своих машинах, оформленные как самозанятые или индивидуальные предприниматели, либо те, кто арендует автомобиль у местной службы такси. А приложения, часто небезопасные для пассажиров, просто упрощают им поиск заказов.