Компания AppSec Solutions, российский разработчик, занимающийся кибербезопасностью, провела анализ 13 наиболее востребованных в России приложений для аренды автомобилей и проката электросамокатов. Для исследования была использована платформа AppSec.Sting, предназначенная для анализа защищенности мобильных приложений.
В мобильных приложениях выявлено свыше 400 уязвимостей, причем 25 из них классифицируются как критические. По мнению специалистов, сбор обширных персональных данных пользователей, таких как фотографии паспортов и сведения о банковских картах, характерный для приложений по аренде автомобилей, представляет значительный риск. Аналогичная ситуация наблюдается и в сервисах проката электросамокатов, где личные данные пользователей собираются для учета их действий при совершении нарушений правил дорожного движения.
Никита Пинаев, возглавляющий отдел анализа защищенности AppSec.Sting в компании AppSec Solutions, сообщил:
К сожалению, выяснилось, что некоторые приложения хранят конфиденциальные данные без должной защиты. Эта распространенная проблема предоставляет злоумышленникам широкие возможности. Другая частая уязвимость – отсутствие эффективного обнаружения скомпрометированной среды, что может быть использовано для целенаправленных атак на пользователей. Однако стоит отметить, что среди приложений для каршеринга и кикшеринга встречаются и те, в которых серьезных уязвимостей не выявлено.
Незащищенное хранение и передача конфиденциальной информации – наиболее распространенные уязвимости программного обеспечения в приложениях для транспорта. Команда AppSec.Sting весной проводила масштабное исследование ста наиболее популярных мобильных приложений категории «Транспорт», включающей сервисы такси, навигаторы и приложения для пассажиров общественного транспорта. В течение 2024 года в этой категории было выявлено 1818 уязвимостей, из которых 650 были признаны критическими или высокого уровня.