Спецпроекты

«Ситимобил» позволил всем желающим следить за своими водителями и пассажирами

2970
Безопасность Стратегия безопасности Пользователю Интернет Веб-сервисы Техника

Российский инженер выявил в системе безопасности агрегатора такси «Ситимобил» брешь, позволяющую отслеживать буквально каждую машину на маршруте. Под угрозой не только водители, но и их пассажиры, и следить за ними может каждый, у кого есть смартфон и компьютер.

Грандиозная уязвимость

Агрегатор такси «Ситимобил» позволяет практически в реальном времени отслеживать местоположение своих водителей (и пассажиров машин) без их на то ведома. Скрытно контролировать их передвижение может, по сути, любой, у кого на смартфоне установлено фирменное приложение агрегатора, и из дополнительного оборудования для этого понадобится лишь обычный компьютер с подключением к интернету.

Это недокументированная функция приложения. Фактически, это брешь в системе безопасности агрегатора, которая на момент публикации материала не была устранена. Обнаружил ее россиянин Сергей Крупник, который опубликовал сведения об уязвимости на Habr под псевдонимом Krupnikas. Он называет себя инженером и, предположительно работает в компании «Стриж», разрабатывающей системы телеметрии для ЖКХ, безопасности, умных городов и сельского хозяйства.

Безразличие Mail.ru Group

После обнаружения бреши Крупник связался с Mail.ru Group, которой частично принадлежит «Ситимобил» и рассказал о своей находке. Однако специалисты техподдержки холдинга не оценили уровень опасности, которую она может нести.

citi600.jpg
Mail.ru Group не сочла уязвимость «Ситимобила» критической

В их ответе было сказано, что раз эти данные показываются пользователю в фирменном приложении, то они не являются чувствительными и не требуют дополнительной защиты. При этом сообщение Сергея Крупника было отклонено спустя буквально три минуты с момента отправки.

Как был обнаружен баг

Сергей Крупник, по его словам, отслеживал весь трафик, идущий с его смартфона, через установленную на его ПК программу Mitmproxy (Man In The Middle Proxy) и обнаружил запросы приложения ««Ситимобил» на получение сведений о ближайших автомобилях, которые при этом не требовали аутентификации.

Каждая точка на карте - это одна машина «Ситимобила»

На основе параметров, запрашиваемых приложением в своих запросах, Крупник сперва отправил собственный POST-запрос о местоположении 10 ближайших водителей на адрес c-api.city-mobil.ru/getdrivers. В нем он указал широту, долготу и массив классов автомобилей. Сервер действительно прислал ему ответы по каждой из 10 машин, содержащие актуальное на момент запроса их местоположение, а также идентификатор каждой машины, код их направления, цвет и тип (эконом, комфорт и т. д.).

Крупник не уточнил, на каких платформах работают его устройства, которые он использовал в своем анализе системы безопасности «Ситимобила».

Крупномасштабная слежка

По словам Крупника, сервер каждый раз возвращал ему информацию не более чем о 10 автомобилях, что не давало ему следить за всеми машинами агрегатора, находящимися на линии. В ответ на это инженер написал алгоритм, запускающий многочисленные запросы на поиск с координат водителей, найденных при помощи предыдущего метода с 10 машинами, что позволило ему совершать тысячи запросов в минуту.

Как меняется количество машин «Ситимобила» в Москве и МО с течением времени

Инженер утверждает, что за «пару десятков секунд» он смог собрать информацию обо всех таксистах «Ситимобила», находящихся на маршруте в Москве и Московской области. Тестирование бага в системе агрегатора показало, что, к примеру, в 11 утра в воскресенье таких машин было около 4400. Также на основе полученных данных Сергей Крупник смог составить график зависимости их количества от времени.

В чем опасность

Просчет разработчиков ПО «Ситимобила» открывает широкие возможности для слежки, которые могут нести угрозу не только для Mail.ru Group, но также для водителей и пассажиров. К примеру, алгоритм Крупника позволяет отслеживать передвижения одного конкретного таксиста, что при необходимости позволит выследить и его пассажира, если примерно знать координаты места, где он сел в такси. Причем для этого тоже не понадобятся никакие спецсредства – нужны будут лишь смартфон, компьютер и программа для отслеживания трафика, и можно будет следить за ним, буквально не вставая с дивана.

potccx-li8zwvyzlp-yp-ior7j4.gif
Уязвимость открывает возможность отслеживания маршрута конкретного автомобиля

Опасность для самого холдинга заключается в том, что все конкуренты «Ситимобила», в том числе и «Яндекс.такси», теперь могут использовать эти данные в своих целях, к примеру, для ценообразования. Также алгоритм Крупника позволит им выявлять в своих рядах водителей, работающих одновременно и на них, и на «Ситимобил», а заодно и оценивать долю рынка «Ситимобила» и его доходность.