Уязвимости в аренду
Эксперты сочли приложения для поиска жилья небезопасными
Популярные у россиян мобильные приложения поиска надвижимости для покупки или аренды оказались очень плохо защищены, выяснили в «Ростелеком-Солар». Уязвимости могут привести к утечке персональных данных, в том числе паспортных, которые запрашивает половина подобных приложений, считают эксперты по безопасности: это открывает возможности для афер с ущербом в миллионы рублей. Но сами сервисы утверждают, что обеспечивают необходимую безопасность информации клиентов.
“Ъ” ознакомился с отчетом «Ростелеком-Солар», посвященным безопасности популярных мобильных приложений для поиска аренды и покупки недвижимости. Из него следует, что уровень защищенности таких сервисов составляет 2,2 балла из пяти возможных. Компания провела автоматический анализ безопасности кода десятка приложений с наибольшим числом скачиваний в категории «Недвижимость» в Google Play и Apple Store. В их числе ЦИАН, «ДомКлик», «Яндекс.Недвижимость», N1.RU, Domofond, Airbnb, Mitula, «Этажи», Indomio, idealista.
В отчете отмечается, что количество критических уязвимостей в приложениях на платформе iOS в 30 раз выше, чем у тех же сервисов для Android. Самым защищенным приложением на Android стал Domofond, а на iOS — Airbnb. На втором и третьем местах на Android — Indomio и idealista. Приложения с наибольшим числом уязвимостей в «Ростелеком-Солар» не раскрыли.
По словам директора центра Solar appScreener «Ростелеком-Солар» Даниила Чернова, некоторые исследуемые программы собирают и обрабатывают такие данные, как ФИО, дата рождения, семейное положение, информация о детях, ежемесячный доход. Половина изученных приложений, по его словам, также обрабатывает паспортные данные: «Уязвимости могут привести к их утечке».
«Яндекс.Недвижимости» персональные данные пользователей требуются, только если необходимы для работы сервиса, например, контакты для связи с арендодателем или при заключении договора между собственником и арендатором, говорят в компании: «Все данные тщательно охраняются». В ЦИАН (владеет приложениями ЦИАН и N1) “Ъ” заверили, что безопасность пользователей — один из приоритетов: «Мы выполняем все требования закона по защите персональных данных».
Мобильное приложение «Этажи» персональных данных клиента не хранит, утверждает директор «Есофт» (разрабатывает сервис «Этажи») Антон Щукин. По его словам, для входа в личный кабинет клиента достаточно номера телефона, указанного в заявке на покупку или продажу объекта недвижимости. С учетом того, что требующих защиты данных в приложении нет, вложения в повышение безопасности «не совсем оправданы» на данном этапе, говорит Антон Щукин, отмечая, что по мере развития функционала сервиса защита будет расти. «Сбер» (владеет «ДомКлик»), Domofond, Airbnb, idealista не ответили на запросы.
Проблемы приложений на iOS обусловлены стереотипами о том, что платформа неуязвима или неинтересна хакерам, полагает руководитель направления Eset Threat Intelligence Александр Пирожков: «Команды разработки не ставят задачу защиты от взломов сервисов во главу угла, а делают акцент на дизайне и удобстве использования».
Разработчики зачастую надеются на защиту со стороны операционной системы и не следуют базовым принципам безопасности, согласен эксперт по кибербезопасности «Лаборатории Касперского» Виктор Чебышев.
Приложения для поиска жилья более уязвимы по сравнению с другими не в силу своих технических особенностей, а из-за критически важной информации о пользователях, которую собирают, считает Александр Пирожков: «Мошенникам гораздо важнее данные о собственниках недвижимости, их благосостоянии и возрасте, чем, например, аналогичные данные о посетителях ресторанов или спортивных клубов». По его мнению, доступ к данным пользователей таких тематических площадок открывает возможности для афер с ущербом в миллионы рублей. Главное правило безопасности в данном контексте, полагает Виктор Чебышев,— обновлять приложения: с новыми версиями разработчики закрывают те или иные недочеты.