Российский разработчик, специализирующийся на кибербезопасности, AppSec Solutions проанализировал 13 наиболее популярных в России приложений для аренды автомобилей и проката электросамокатов. Исследование проводилось с помощью платформы анализа защищенности мобильных приложений AppSec.Sting.
В приложениях обнаружили более 400 уязвимостей, причем 25 из них – высокого уровня. Как пояснили эксперты, поскольку мобильные приложения для аренды автомобилей собирают большое количество персональных данных пользователей, включая фото паспорта и данные банковских карт, это может стать серьезной проблемой. Сервисы электросамокатов, предлагаемых напрокат, также собирают личные данные пользователей, чтобы учитывать их в случае нарушения ПДД.
Никита Пинаев, руководитель отдела анализа защищенности AppSec.Sting компании AppSec Solutions, рассказал:
Одно из неприятных открытий – немало приложений хранят чувствительную информацию в открытом виде. Это распространенная проблема, которая открывает большие возможности для злоумышленников. Еще одна часто встречающаяся уязвимость - недостаток в реализации детектов на скомпрометированную среду, который может быть использован для целевых атак на пользователей. Справедливости ради, отметим, что среди приложений для кар- и кик-шеринга есть и те, где серьезных уязвимостей мы не нашли.
Хранение и передача чувствительных данных в незащищенном виде – наиболее часто встречающиеся недостатки ПО среди приложений для транспорта. Весной команда AppSec.Sting проводила масштабное исследование первой сотни наиболее популярных мобильных приложений в категории «Транспорт», в которую вошли сервисы такси, навигаторы, приложения для пассажиров общественного транспорта. За 2024 год в этой категории было обнаружено 1818, из них 650 критических и высокого уровня.