- Новая статья: Gamesblender № 700: угроза... (15)
- На проекте термоядерного реактора ИТЭР во... (17)
- Белорусские лонжероны, 130 км/ч,... (33)
- Китайская ракета «Большого скачка в космос»... (65)
- «Теперь это возможно». Илон Маск готов... (124)
- Стартап xAI Илона Маска получит от арабов $5... (106)
- Сандийские национальные лаборатории... (103)
- Российскому космическому телескопу рано на... (110)
- Пара чёрных дыр влетела в межзвёздное облако... (119)
- В России начнут выпускать копию... (132)
- Грузовой корабль «Прогресс МС-29»... (124)
- Как на Raspberry Pi 5 запустить Doom... (307)
- Отходы производства бурбона могут стать... (226)
- Межпланетная станция «Гера» поддала газу и... (207)
- Samsung гигантским скачком вернула себе... (226)
- Яркость этого монитора выше, чем у экранов... (286)
Роскачество обнаружило уязвимости в приложениях для заказа такси
Дата: 2024-10-09 11:35
Эксперты Центра цифровой экспертизы Роскачества протестировали 30 мобильных приложений из категории «Такси». Для оценки уровня безопасности приложения проверялись по следующим критериям: запрашиваемые доступы, наличие трекеров активности и безопасность передачи данных.
Сгенерировано нейросетью Dall-EИз 30 исследованных приложений 11, например, BiTaksi и Taxsee, содержат встроенные трекеры от корпорации Google и несколько трекеров от менее крупных компаний, три из этих 11 приложений также имеют трекеры от Facebook*.
Семь наиболее популярных приложений из рейтингов App Store и Google Play такие как «Яндекс Go», Maxim и «Таксовичкоф», показали ожидаемо высокий уровень защиты: весь трафик был зашифрован, а запрашиваемые доступы минимальны и обоснованы.
В отличие от них, остальные 23 приложения запрашивали значительно больше доступов, многие из которых можно охарактеризовать как избыточные и необоснованные. Например, приложения «BiBi такси» и AltoCar запрашивали права на изменение или удаление данных на общем накопителе, в то время как drivee требовало права на изменение сетевых настроек, а Bolt запрашивало доступ к управлению NFC-модулем. Еще более настораживает, что приложение «Такси Анжи» запрашивало просмотр контактов, не предоставляя исчерпывающих объяснений для таких разрешений.
Но наибольшую обеспокоенность у специалистов вызвала группа из десяти приложений, таких как «Такси Инфинити», «Такси Белое», «Такси Пилот», «Мегаполис», которые принадлежат локальным таксопаркам и работают в строго ограниченном списке не самых крупных городов России. Все они имеют идентичные проблемы с безопасностью и передают определенные данные, такие как ID и ключ приложения, ID устройства и другие параметры, в незашифрованном виде. Эти уязвимости могут позволить злоумышленникам подключиться к сессии пользователя без прохождения проверок безопасности и завладеть конфиденциальной информацией, такой как маршруты и время передвижения, домашние адреса, способы оплаты и даже переписка с водителями.
Выявленные уязвимости показывают важную тенденцию: крупные, хорошо зарекомендовавшие себя приложения, такие как «Яндекс Go», Maxim и «Таксовичкоф», действительно обеспокоены безопасностью данных пользователей и минимизацией рисков утечки информации.
Однако десять региональных приложений, таких как «Такси Инфинити», «Такси Белое» и другие, демонстрируют серьезные проблемы с безопасностью, при этом все эти приложения выглядят идентично и имеют одни и те же критические уязвимости. Это говорит о том, что, несмотря на различия в интерфейсах и позиционировании, они, вероятно, созданы по одному шаблону с помощью конструктора или услуг конкретного разработчика, что открывает возможность для масштабных кибератак на пользователей.
Также, исследование показало, что приложения из топ-чартов магазинов, такие как DiDi, TaxiF и inDrive, которые ранее были доступны в России, но теперь удалены, все еще фигурируют в рекомендациях и могут оставаться на устройствах пользователей, представляя собой потенциальные риски в случае отсутствия обновлений.
* Facebook принадлежит компании Meta, которая признана в России экстремистской и запрещена.
Подробнее на iXBT
Предыдущие новости
В Москве предлагают заказать Ferrari LaFerrari за полмиллиарда рублей
Московский салон предлагает желающим заказать супергибрида Ferrari LaFerrari 2016 года выпуска, который привезут под заказ из Германии за 499 миллионов рублей. Это первый полный гибрид Ferrari и самый мощный на тот момент автомобиль компании. Он оснащён 6,3-литровым двигателем V12 с непосредственным впрыском топлива, расположенным сзади посередине, который раскручивается до...
Российские астрономы обнаружили «антисбои» в гамма-пульсаре PSR J1522-5735
Российские астрономы сделали значительное открытие в области астрофизики, обнаружив анти-сбои в гамма-пульсаре PSR J1522-5735. Это достижение было достигнуто на основе анализа данных, собранных космическим гамма-телескопом Fermi NASA, и было опубликовано 28 сентября на сервере препринтов arXiv. Пульсары представляют собой сильно намагниченные вращающиеся нейтронные звёзды,...
MediaTek представила Dimensity 9400 — самый мощный процессор для Android-смартфонов
Компания MediaTek официально представила флагманскую однокристальную платформу нового поколения — Dimensity 9400. Свежий чип отличают эволюционные улучшения технических характеристик, а также несколько перспективных нововведений. И, конечно же, не обошлось без мощных ИИ-возможностей. Источник изображения:...
Учёные обнаружили самую большую пару плазменных струй, когда-либо наблюдавшихся из сверхмассивной черной дыры
Международная группа астрономов использовала радиотелескоп Metrewave GMRT Национального центра радиоастрофизики (NCRA), чтобы обнаружить крупнейшую пару плазменных джетов, когда-либо наблюдавшихся из сверхмассивной чёрной дыры, охватывающую размер в 23 миллиона световых лет от начала до конца. Размер этих джетов более чем в 100 раз превышает размер Млечного Пути. Мегаструктура...