В шеринговых мобильных приложениях растет число опасных уязвимостей

В российских мобильных приложениях такси, каршеринга и аренды самокатов за прошлый год выявлено почти 2 тыс. уязвимостей, которые создают риск утечки данных пользователей. С каждым годом растет число «дырок» в ПО, что связано с ростом количества самих шеринговых приложений и усилением диагностики на выявление.

За 2024 год в мобильных приложениях такси, каршеринга и аренды самокатов выявлено 1818 уязвимостей, создающих риск утечки персональных данных пользователей. Об этом свидетельствуют результаты исследования, проведенного компанией AppSec Solutions, с которыми ознакомились «Ведомости». Хотя общее число уязвимостей по сравнению с 2023 годом снизилось (тогда их было 2488), количество критических и высокорисковых брешей в защите, напротив, значительно возросло.

В выборку аналитиков вошли 98 приложений, охватывающих различные транспортные сервисы – от заказа такси и аренды автомобилей до навигаторов, приложений для оплаты штрафов ГИБДД и даже сервисов общественного транспорта, таких как метро. Представитель AppSec Solutions отметил, что все исследованные приложения доступны в популярных магазинах приложений, включая App Store, RuStore и Google Play.

Согласно исследованию, количество уязвимостей высокого и критического уровня увеличилось с 141 в 2023 году до 650 в 2024 году. Представитель AppSec Solutions пояснил, что это связано с пересмотром и уточнением параметров поиска уязвимостей в текущем году. «Основная масса уязвимостей приходится на сервисы, которые, вероятно, не имеют собственной команды по информационной безопасности и не уделяют должного внимания проверкам», – отметил он. При этом эксперт подчеркнул, что наличие уязвимостей не зависит от платформы распространения приложения, поскольку проблемы безопасности обнаруживаются непосредственно в коде.

Опрошенные «Ведомостями» эксперты полагают, что рост числа критических уязвимостей может быть связан с увеличением количества альтернативных сервисов и приложений на рынке. «В условиях жесткой конкуренции компании стремятся оптимизировать затраты, что приводит к сокращению времени и ресурсов, выделяемых на качественную разработку и тестирование», – поясняет один из аналитиков. По его словам, стремление угнаться за трендами и добавить новый функционал, используя библиотеки с открытым исходным кодом, ведет к увеличению объема кода и, как следствие, повышению вероятности появления уязвимостей.

В F6 (ранее F.A.C.C.T. и Group IB) также подтверждают наличие проблем с безопасностью в транспортных приложениях. По данным компании, с 2022 года по первое полугодие 2024 года в приложениях этой категории было выявлено 148 уязвимостей, три из которых были критическими, а 45 – высокого уровня риска. Юрий Шабалин, владелец продукта «Стингрей» экосистемы AppSec Solutions, подчеркивает серьезность угрозы утечки данных. «Поскольку пользователи делятся с этими приложениями своими персональными данными, включая данные документов, номера телефонов и адреса, это создает широкое поле для деятельности злоумышленников и может привести к финансовым потерям», – говорит он. В худшем случае, по его словам, утечка может раскрыть информацию о поездках и личных маршрутах пользователя.

Эксперты предупреждают, что для рядового пользователя утечка подобных данных может иметь серьезные последствия. «Злоумышленники могут вычислить стандартные маршруты и место жительства жертвы, что может быть использовано для дальнейших атак с применением социальной инженерии», – отмечает один из специалистов по кибербезопасности. Кроме того, получив доступ к аккаунту пользователя, злоумышленники могут использовать сервис в своих целях, например, совершать поездки за чужой счет или даже украсть транспортное средство.

Фото: Poppy Mobility