Специалисты по кибербезопасности Центра цифровой экспертизы Роскачества провели исследование 30 мобильных приложений для заказа такси и выявили серьезные проблемы с защитой персональных данных в большинстве из них. Из 30 проверенных приложений 23 запрашивали доступ к данным, которые аналитики сочли избыточными и необоснованными.
Как сообщает «Парламентская газета», оценка приложений проводилась по нескольким критериям: запрашиваемые доступы, наличие трекеров активности и безопасность передачи данных.
«Семь наиболее популярных приложений из рейтингов AppStore и Google Play, такие как «Яндекс Go», Maxim и «Таксовичкоф», показали ожидаемо высокий уровень защиты: весь трафик был зашифрован, а запрашиваемые доступы минимальны и обоснованы», — говорится в материалах исследования Роскачества.
Остальные 23 сервиса требовали значительно больше доступов к данным устройства и передавали информацию в незашифрованном виде. Особую озабоченность у специалистов вызвали 10 приложений, принадлежащих локальным таксопаркам и работающим в небольших городах России.
«Все они имеют идентичные и серьезные проблемы с безопасностью и передают такие данные, как ID и ключ приложения, ID устройства, и другие параметры в незашифрованном виде», — пояснили в Роскачестве.
Из-за этих уязвимостей злоумышленники могут получить доступ к конфиденциальной информации, такой как маршруты передвижения, домашние адреса и даже переписка с водителями.
«Популярные приложения для заказа такси показали достойный уровень в вопросе безопасности передачи данных: они не требуют лишних доступов и не злоупотребляют трекерами. Однако на региональном уровне существует глобальная проблема — некий разработчик или конструктор, услугами которых пользуются таксопарки. Несмотря на то, что в магазинах приложений они числятся за разными производителями, создавали их по одному шаблону, и они имеют одни и те же уязвимости».
Сергей Кузьменко, руководитель Центра цифровой экспертизы Роскачества
Роскачество рекомендует пользователям быть осторожными при установке региональных приложений и внимательно следить за запрашиваемыми доступами. Разработчикам же необходимо пересмотреть подходы к защите данных, чтобы исключить риски утечки личной информации.