Безопасны ли приложения каршеринга?

Почти год назад мы писали о проблемах с приложениями для управления подключенными автомобилями. Тогда выяснилось, что удобства, которые предоставляет эта технология, не стоят рисков. На фоне роста популярности каршеринговых сервисов мы решили проверить, насколько безопасны их приложения.

А зачем вообще угонять аккаунт в каршеринге?

Ответ очевиден — чтобы его продать. Причем за неплохие деньги: угнанные учетные записи в соцсетях и взломанные емейлы стоят копейки, а вот цены на краденые аккаунты в системах каршеринга достаточно высоки — от $18.

Продажа взломанных аккаунтов в различных сервисах каршеринга и расценки на них

Кто же будет их покупать? Например, любители прокатиться с ветерком за чужой счет. Оплачивать штрафы и потенциальный ущерб, не говоря уже о самой стоимости поездки, придется законному владельцу аккаунта. Конечно, веселье может быстро кончиться, если пользователь внимательно следит за историей поездок. Но если повезет, угон обнаружится не сразу.

Другая категория потенциальных покупателей — те, кому в сервисы каршеринга вход заказан — молодые люди, не достигшие 21 года, лица без достаточного стажа за рулем или вообще без водительских прав. Наконец, те, кого в сервисах каршеринга уже забанили за многочисленные нарушения.

Дельцы в красках расписывают перед потенциальными клиентами все преимущества своего товара. Например, взяв в прокат машину под чужим аккаунтом, можно натворить бед и не понести за это ответственность. Все ДТП и причиненный автомобилю урон скорее всего лягут на плечи жертвы взлома. Как вариант, машину можно отогнать подальше от любопытных глаз и там быстренько распилить на запчасти.

Краш-тесты во сне и наяву

У каршеринга есть важное отличие от других сервисов: если ваш аккаунт взломают, вы можете не только расстаться с той или иной суммой сразу, но еще и должны останетесь. Сервису — за ущерб, причиненный автомобилю, и государству — штрафы за те нарушения, которых вы не совершали. Если сумма будет приличная — то недалеко и до судебных приставов, запрета выезда за границу и прочих радостей.

Но ведь по идее, разработчики приложений тоже это понимают, а потому стоят на страже клиентов и их данных и все как следует защищают? К сожалению, с этим все не так здорово, как хотелось бы. Наши эксперты изучили Android-приложения 13 сервисов каршеринга. Приложения проверялись по четырем возможным направлениям атаки:

• Перехват данных, которыми приложение обменивается с сервером.
• Подбор автоматически выданных паролей.
• Перекрытие интерфейса приложения фальшивым окном.
• Запуск на рутованных устройствах и внедрение вредоносного кода.

Перехват данных aka «атака посредника»

Обмен данными между приложением и сервером выглядит как сделка на фондовом рынке: каждая сторона проверяет, можно ли доверять собеседнику и доказывает, что у нее тоже нет скрытых мотивов. В частности, сервер должен предъявлять сертификат, подтверждающий его безопасность.

Однако наши эксперты неприятно удивились, когда узнали, что ни одно из приложений не утруждает себя проверкой этих сертификатов. Подменив сертификат, можно перехватить те данные, которыми каршеринговые приложения обмениваются с серверами — и выудить из них логин и пароль. Например, риск угона аккаунта существует, если пользоваться каршеринговым приложением в незащищенной Wi-Fi сети.

Подбор сгенерированных паролей

В идеальном мире пользователи сами выбирают себе логин пооригинальнее и пароль позабористее. Ну, по крайней мере, имеют возможность это сделать. Реальность более сурова: половина протестированных каршеринговых приложений не дает этого сделать и сама при этом не блещет креативностью:

• в качестве логина использует телефонный номер;
• в качестве пароля использует короткий ПИН-код, присланный в SMS.

Чем плох номер телефона в качестве логина? Его достаточно легко узнать: часто пользователи забывают скрыть контакты в социальных сетях, а найти там клиента каршеринга можно по хэштегам и фотографиям. Узнав ваш номер, злоумышленник способен перехватить и СМС. Впрочем, учитывая, насколько «сложные» ПИН-коды придумывают приложения, ему и это не потребуется.

ПИН-код из четырех цифр — явно недостаточно надежная защита аккаунта, кража которого может обойтись в десятки тысяч рублей

К примеру, один из сервисов высылает в качестве кода подтверждения комбинацию из четырех цифр. Таких комбинаций существует всего 10 000. Может показаться, что это много — но только если перебирать вручную. Программа для перебора справится с этой задачей очень быстро. Наши эксперты исследовали это направление атаки, забросав сервер приложения запросами с вариантами кодов. Их должны были заблокировать или хотя бы прислать извещение о подозрительных действиях с аккаунтом. Но ничего подобного не произошло.

Судя по всему, разработчики посчитали, что двухминутный «срок годности» ПИН-кода обеспечивает достаточную защиту. Однако в действительности даже за эти 120 секунд злоумышленники могут найти нужные цифры. Тем более, что количество попыток не ограничено.

Запуск на рутованных устройствах и внедрение вредоносного кода

Создатели вредоносных приложений очень любят «рутованные» смартфоны и планшеты. Оно и немудрено — права суперпользователя дарят практически неограниченные возможности для работы с устройством, и как следствие, открывают множество лазеек в системе безопасности. В частности, позволяют внедриться в процесс приложения для каршеринга и украсть все необходимые данные.

Некоторые пользователи сами взламывают свои устройства, чтобы иметь больше возможностей, а другие могут даже не подозревать о том, что их смартфон зарутован — существуют зловреды, которые умеют это делать без ведома хозяина устройства.

Еще один способ заполучить ваши логин и пароль, не копаясь в соцсетях в поисках доступных контактов — расковырять исходный код приложения и вставить туда функции, выгодные злоумышленникам. А затем выложить его в официальный магазин с каким-нибудь похожим названием, чтобы люди сами его скачивали и вводили в него свои данные.

Лишь одно приложение из 13 участвовавших в исследовании, дало хоть какой-то отпор по этим фронтам, и то — недостаточный. Она не запустится с измененным кодом, но если злоумышленник получит root-права на вашем устройстве, он получит и доступ к данным (к счастью, зашифрованным).

Перекрытие интерфейса и перехват SMS

Самый простой способ украсть учетные данные у владельца зараженного смартфона — это либо перехватить SMS с пин-кодом, либо перекрыть интерфейс легитимного приложения каршеринга очень похожим поддельным окном. К сожалению, защитой от перехвата SMS и поддельных окон авторизации разработчики протестированных приложений не озаботились вообще.

Поэтому злоумышленник легко выудит логин и пароль пользователя любой из этих программ с помощью зловреда, располагающего такой функцией. Описанные техники уже успешно освоены создателями банковских троянцев. Все, что потребуется потенциальным злоумышленникам — это адаптировать их под дизайн нового типа приложений.

Подробнее об этих атаках можно почитать в тексте о приложениях для управления автомобилями: те тоже им подвержены.

Каршеринг без опасности: как защититься

Конечно, исправить ошибки разработчиков пользователю не под силу, но все-таки обезопасить себя от мошенников можно и нужно:

• Не оставляйте в открытом доступе номер телефона и адрес электронной почты, к которым привязана учетная запись каршеринга.
• Старайтесь не пользоваться приложениями каршеринга при подключении к небезопасным Wi-Fi сетям. Используйте защиту соединения — VPN, она поможет избежать кражи данных.
• Следите за историей поездок и платежей. Если заметите какую-то подозрительную активность — немедленно свяжитесь со службой поддержки каршерингового сервиса.
• При получении внезапной SMS с ПИН-кодом для входа в приложение каршеринга также немедленно сообщите об этом в службу поддержки.
• Используйте защитное решение, которое обезопасит ваше устройство от вредоносных программ. Это осложнит жизнь не только любителям бесплатной езды, но и тем, кого интересует, скажем, ваш банковский счет.