Эксперты оценили уровень защищенности приложений по поиску недвижимости
Уровень безопасности популярных мобильных приложений для поиска аренды и покупки недвижимости эксперты из «Ростелеком-Солар» оценили в 2,2 балла из пяти возможных. Уязвимости открывают возможности для афер с ущербом в миллионы рублей, считают специалисты по утечкам данных
Компания «Ростелеком-Солар» провела автоматический анализ безопасности кода десятка мобильных приложений с наибольшим числом скачиваний в категории «Недвижимость» в Google Play и Apple Store. Уровень защищенности таких сервисов составляет 2,2 балла из пяти возможных, сообщает «Коммерсантъ» со ссылкой на данные отчета об исследовании.
В числе сервисов, которые стали предметом анализа, — «Яндекс.Недвижимость», ЦИАН, «ДомКлик», N1.RU, Domofond, Airbnb, Mitula, «Этажи», Indomio, idealista. По данным отчета, число критических уязвимостей в приложениях для операционной системы iOS (Apple) в 30 раз выше, чем у сервисов для Android (Google). Самым защищенным приложением на Android стал Domofond, а на iOS — Airbnb. На втором и третьем местах на Android — Indomio и idealista.
Директор центра Solar appScreener «Ростелеком-Солар» Даниил Чернов рассказал, что некоторые исследованные программы собирают и обрабатывают такие данные, как ФИО, дата рождения, семейное положение, информация о детях, ежемесячный доход. Половина изученных приложений, по его словам, также обрабатывает паспортные данные. «Уязвимости могут привести к их утечке», — отметил он.
«Яндекс.Недвижимости» персональные данные пользователей требуются, только если они необходимы для работы сервиса, например контакты для связи с арендодателем или при заключении договора между собственником и арендатором, сказали в компании. «Все данные тщательно охраняются», — отметили там. В ЦИАН (приложения ЦИАН и N1) заверили, что безопасность пользователей — один из приоритетов. «Мы выполняем все требования закона по защите персональных данных», — сказали там.
Мобильное приложение «Этажи» персональных данных клиента не хранит, уточнил директор «Есофт» (разработчик сервиса «Этажи») Антон Щукин. По его словам, для входа в личный кабинет на сервисе достаточно номера телефона, указанного в заявке на покупку или продажу объекта недвижимости. Он добавил, что по мере развития функционала сервиса защита будет расти. «Сбер» (владеет «ДомКлик»), Domofond, Airbnb, idealista не ответили на запросы газеты.
По мнению руководителя направления Eset Threat Intelligence Александра Пирожкова, команды разработки приложений не ставят задачу защиты от взломов сервисов во главу угла, а делают акцент на дизайне и удобстве использования. Разработчики надеются на защиту со стороны операционной системы и не следуют базовым принципам безопасности, подтвердил эксперт по кибербезопасности «Лаборатории Касперского» Виктор Чебышев.
Приложения для поиска жилья более уязвимы из-за критически важной информации о пользователях, которую собирают, отметил Пирожков. По его мнению, доступ к данным пользователей таких тематических площадок открывает возможности для афер с ущербом в миллионы рублей. Чебышев рекомендовал пользователям обновлять приложения: с каждой новой версией разработчики закрывают те или иные недочеты.