1 Отстой0
1 1 1 1 1 1 1 1 1 1 Рейтинг 5.00 [1 Голос]

Рейтинг:  5 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда активна
 

 

c1bda8a4f3731a2919b764f2e51a5fea4_d086b.jpg

 

 

 Исследователи «Лаборатории Касперского» представили результаты исследования приложений от зарубежных и отечественных каршеринговых компаний.

 Эксперты «Лаборатории Касперского» проанализировали более десятка мобильных приложений от каршеринговых компаний (сдающих в аренду автомобили), и обнаружили серьезные уязвимости, с помощью которых злоумышленники могут похитить персональную информацию и даже угнать автомобиль.

 Специалисты изучили тринадцать Android-приложений, используемых в США, Европе и России и загруженных из Google Play свыше 1 млн раз. По словам экспертов, приложения от каршеринговых компаний могут заинтересовать киберпреступников по целому ряду причин. К примеру, они могут взломать учетную запись легитимного пользователя и ездить на машине за его счет, угнать машину или использовать ее в преступных целях. Кроме того, злоумышленники могут следить за передвижениями пользователя и получить доступ к его персональным данным.

 Вышеописанные сценарии возможны пока только в теории, однако, как отметили в ЛК, киберпреступники уже продают взломанные учетные записи клиентов каршеринговых компаний. Продавцы рекламируют свой товар, уверяя, что с его помощью покупатель получит целый ряд возможностей, в том числе возможность водить автомобиль без водительских прав.

 В ходе исследования эксперты ЛК прежде всего проверили, возможно ли осуществить реверс-инжиниринг приложений и можно ли их выполнить с правами суперпользователя. Возможность осуществить реверс-инжиниринг позволяет злоумышленникам создавать вредоносные версии приложений. Обладая правами суперпользователя устройства, хакеры могут похитить конфиденциальную информацию.

 Как оказалось, из всех исследуемых приложений защита от реверс-инжиниринга была реализована только в одном, однако защита от выполнения с правами суперпользователя в нем все равно отсутствовала. Тем не менее, приложение шифровало данные, что усложняло задачу киберпреступникам даже с правами суперпользователя.

 Далее исследователи взялись за пароли, используемые в приложениях от каршеринговых компаний. В большинстве случаев компании предоставляли своим клиентам слабые пароли или одноразовые короткие верификационные коды. Ненадежные пароли вкупе с неограниченным числом попыток их ввода позволяют злоумышленникам осуществить брутфорс-атаку и подобрать пароль или код.

 Исследователи не привели названия ни одного из проанализированных приложений. Однако по их словам, приложения от американских и европейских компаний являются более защищенными по сравнению с российскими.

Источник: https://www.securitylab.ru/news/494634.php

Для комментирования вы должны авторизоваться.

Последняя активность
  • Толстый
    Автору за прочтение (DDoS-атаки на H*DRA. Кто это делает? (Толстый)) / 0.50 баллы
  • sana
    Новый пользователь ( Добро пожаловать!) / 10.00 баллы
  • Hydr
    Новый пользователь ( Добро пожаловать!) / 10.00 баллы
  • Comunity
    За оценку статьи в ленте (лайк или дизлайк) / 1.00 баллы
  • хБп Пым
    Новый пользователь ( Добро пожаловать!) / 10.00 баллы
  • Comunity
    За оценку статьи в ленте (лайк или дизлайк) / 1.00 баллы
  • Comunity
    За оценку статьи в ленте (лайк или дизлайк) / 1.00 баллы
  • Comunity
    За оценку статьи в ленте (лайк или дизлайк) / 1.00 баллы
  • Comunity
    Profile view (За просмотр профиля пользователем XRumerTest) / 0.10 баллы
  • Comunity
    За оценку статьи в ленте (лайк или дизлайк) / 1.00 баллы