+7 (499) 110-86-37Москва и область +7 (812) 426-14-07 Доб. 366Санкт-Петербург и область

Разработка приложения под каршеринг

Разработка приложения под каршеринг

В связи с возрастающей популярностью каршеринга исследовательская лаборатория информационных продуктов Роскачества протестировала наиболее популярные мобильные приложения сервисов каршеринга 10 — для операционной системы Android, 10 — для iOS и проверила, насколько они адаптированы для использования туристами в период ЧМ В ходе испытаний эксперты оценили приложения по 36 параметрам, в том числе проверили функциональность, безопасность, удобство пользования, производительность и надежность. В исследовании группа параметров функциональных возможностей получила наибольшее значение как одна из самых важных потребительских характеристик любого мобильного приложения. Всего было оценено 16 критериев функциональности. Меньше всего функций реализовано в приложении CAR5. Стоит отметить, что функциональность всех исследованных приложений для iOS идентична функциональности приложений для Android, все функции реализованы одинаковым образом и представлены в равном объеме.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефонам, представленным на сайте. Это быстро и бесплатно!

Содержание:

Оставить заявку Задать вопрос. Мы занимаемся созданием мобильных приложений для устройств на iOS и Android под ключ и по разумным ценам.

Разработка мобильных приложений для такси и каршеринга

Если Вам необходима помощь справочно-правового характера у Вас сложный случай, и Вы не знаете как оформить документы, в МФЦ необоснованно требуют дополнительные бумаги и справки или вовсе отказывают , то мы предлагаем бесплатную юридическую консультацию:.

Идея создать агрегатор появилась у Тимофея, когда он столкнулся с неудобствами:. Для Android приложение создал Алексей Захаренко. Также в команду CarShare входит тестировщик Андрей Шевцов. При этом команда CarShare не контактировала с самими операторами, и Тимофей не знает, в курсе ли они о его приложении. CarShare — проект на энтузиазме: дизайн для него делала сестра Тимофея, продвижением в Instagram занимается супруга разработчика, политику конфиденциальности прописал друг-юрист.

Поскольку совокупный автопарк минского каршеринга небольшой, скачиваний у приложения не слишком много, но Тимофей считает свой продукт удачным и сравнивает с московскими агрегаторами:. В связи с возрастающей популярностью каршеринга исследовательская лаборатория информационных продуктов Роскачества протестировала наиболее популярные мобильные приложения сервисов каршеринга 10 — для операционной системы Android, 10 — для iOS и проверила, насколько они адаптированы для использования туристами в период ЧМ В ходе испытаний эксперты оценили приложения по 36 параметрам, в том числе проверили функциональность, безопасность, удобство пользования, производительность и надежность.

Оставить заявку Задать вопрос. Мы занимаемся созданием мобильных приложений для устройств на iOS и Android под ключ и по разумным ценам. Готовы предложить вам услуги по разработке и продвижению сервиса заказа такси для смартфонов и планшетов. Разработка подобного мобильного приложения является одной из самых трудозатратных и рассчитывается исходя из требуемого Вам функционала.

Растущая популярность сервисов краткосрочного проката автомобилей carsharing привела к тому, что некоторые эксперты прогнозируют в будущем полный отказ от персонального автотранспорта в крупных городах. В пользу этого прогноза говорит статистика: например, в Москве парк автомобилей, число активных пользователей и количество поездок, сделанных ими в году, практически удвоилось.

Прекрасные новости, но вместе с этим у специалистов по информационной безопасности возникают резонные вопросы: как защищены пользователи сервисов и какие риски они несут в случае несанкционированного доступа к их аккаунтам? Самое простой ответ на этот вопрос — покататься на хорошей машине за чужой счет. Однако сделать это более одного раза может быть проблематично: обнаружив списание средств за аренду, настоящий владелец аккаунта обратится в техподдержку сервиса, те проверят аренду и в конце концов дело вполне может закончиться обращением в полицию.

В результате во время очередной поездки преступник будет отслежен и задержан с поличным — предсказуемость такого исхода делает этот сценарий использования чужого аккаунта наименее вероятным. Гораздо более логичной кажется продажа аккаунтов: как минимум, спрос на них будет у людей без водительского удостоверения и у тех, кому служба безопасности сервиса отказала в регистрации. И, надо сказать, предложения на рынке есть:. Мошенники предлагают аккаунты практически всех каршеринговых служб….

Кроме этого, зная данные от аккаунта пользователя каршерингового сервиса, можно отслеживать его передвижения, а заметив в автомобиле забытые вещи — просто украсть их. Итак, потенциальный интерес со стороны преступного мира есть. Посмотрим, отреагировали ли на него создатели каршеринговых приложений: позаботились ли о безопасности пользователей и защите собственного ПО от несанкционированного доступа?

Мы протестировали 13 мобильных программ и, забегая вперед, — полученный ответ нас не обрадовал. Для начала мы проверили ПО на противодействие запуску на Android-устройстве с root-правами и оценивали качество обфускации кода приложения. Это связано с двумя особенностями:. Кроме этого, важным элементом защиты для пользователя сервиса является возможность самостоятельного выбора логина и пароля. Дело в том, что телефонный номер, используемый многими сервисами в качестве логина, достаточно легко получить: часто его забывают скрыть в социальных сетях, а выявить там клиента каршеринга можно по хэштегам и фотографиям.

Лишь одно из рассмотренных нами приложений оказалось способно противостоять реверс-инжинирингу: оно было защищено с помощью решения DexGuard, разработчики которого обещают также невозможность запуска ПО в случаях, когда владелец получил root-права на своем устройстве или приложение было модифицировано пропатчено. Названия файлов установочного пакета выдают использование DexGuard. Однако если с защитой от обратной разработки все хорошо, то с запуском на Android с правами суперпользователя проблем не возникает: приложение успешно стартует и проходит процедуру авторизации на сервере.

Злоумышленник мог бы получить данные, находящиеся в защищенном хранилище, однако именно в этом приложении данные были неплохо зашифрованы. Половина протестированных приложений не дают возможность самому создавать логин и пароль: в роли таковых выступают телефонный номер и PIN-код, который пользователь получает в SMS.

С одной стороны, это не даст пользователю использовать ненадежный пароль вида , а с другой — дает шанс злоумышленнику подобрать пароль перехватить его, воспользовавшись уязвимостью SS7, или получить с помощью перевыпуска SIM-карты. Если злоумышленник, нашедший в социальной сети номер телефона, попытается войти в приложение, его владелец получит SMS с кодом подтверждения:. Как видим, это четырехзначное число, то есть всего лишь 10 комбинаций, что не так уж и много.

По-хорошему, такие коды должны быть минимум шестизначными и содержать не только цифры, но и буквы разного регистра. Другой каршеринговый сервис присылает более стойкие пароли, но и в его случае не все гладко: коды создаются по одному шаблону — цифры по краям и четыре латинских буквы в нижнем регистре в середине:.

Таким образом, перебрать нужно 45 миллионов комбинаций, однако если бы положение цифр было произвольным, количество вариантов возросло до двух миллиардов. Конечно, 45 — тоже много, но в приложении нет таймаута на ввод следующей комбинации, следовательно, нет и препятствия для перебора.

Но вернемся пока к PIN-кодам первого приложения. На их ввод нам дают минуту после чего рекомендуют повторить запрос на получения кода. Оказалось, что время жизни комбинации чуть больше двух минут. Мы написали небольшую брутфорс-утилиту, далее воспроизвели часть протокола взаимодействия приложения с сервером и запустили перебор. Мы решили не продолжать, ограничившись подтверждением факта, что даже после нескольких попыток по 10 запросов сервис продолжает отвечать и можно дальше продолжать атаку.

При этом мы специально запустили перебор в один поток, с одного IP-адреса, чтобы дать сервису шанс выявить и заблокировать атаку, а также связаться с потенциальной жертвой и, в крайнем случае, деактивировать учетную запись.

Но ничего из этого сделано не было. На этом мы решили остановиться и перешли к следующему приложению. С ним было решено проделать все те же процедуры, с той лишь разницей, что мы не стали фиксировать успешный подбор пароля, решив, что если сервер позволяет проверить комбинаций, то возможна и проверка 45 миллионов, просто на это уйдет больше времени. В общем, процесс трудоемкий и результат предсказуем. Стоит отметить, что с центром управления приложения обмениваются данными по HTTPS и может уйти достаточно много времени на понимание протокола взаимодействия.

Чтобы быстрее разобраться с этим мы прибегли к MITM-атаке, — в этом нам помогла еще одна глобальная недоработка: ни одно из протестированных приложений не проверяет сертификат сервера, — и получили дамп всей сессии. А если проблема в сложном пароле, то перехватить запуск приложения, показав поверх его интерфейса поддельное окно с полями ввода логина и пароля. Ни одно из рассмотренных нами приложений этим действиям противодействовать не будет.

Ситуация очень похожа на ту, что мы обнаружили с приложениями для connected car : складывается впечатление, что у разработчиков нет понимания текущих угроз для мобильных платформ как при проектировании приложений, так и при создании инфраструктуры. Неплохо было бы расширить функции по оповещению пользователя о подозрительных действиях — на данный момент только один сервис отправляет пользователю оповещение о том, что в его аккаунт пытаются зайти с другого устройства.

Большинство из рассмотренных нами приложений сырые с точки зрения безопасности и нуждаются в доработке. Более того, многие программы не просто очень похожи друг на друга, но и вовсе основаны на одном и том же коде.

Российским операторам каршеринга стоит кое-чему поучится у зарубежных коллег: например, один из крупных игроков на рынке краткосрочной аренды, предоставляет доступ к машине с помощью специальной карты, что хоть и снижает удобство пользования сервисом, но зато существенно повышает безопасность.

Рекламный дроппер в Google Play. Развитие информационных угроз во втором квартале года. DDoS-атаки во втором квартале года. Интересно было прочитать. В их исследовании есть моменты, не освещенные у вас полностью или совсем: 1.

Если пользователь использует публичный Wi-Fi, то злоумышленники через атаку Man-in-the-Middle могут похитить все данные, передаваемые с помощью приложения и в результате получить доступ к аккаунту. Наличие в исходном коде специальной учетной записи бэкдора. Злоумышленник может использовать инструменты декомпиляции, извлечь константные строки, задающие параметры специальной учётной записи, и получить доступ к приложению.

Такая уязвимость обнаружена в 14 из 16 проанализированных приложений под Android. Планируете ли вы проводить дополнительные исследования безопасности приложений каршеринга? Проявили ли компании каршеринга хоть какой-то интерес к результатам вашего исследования? С помощью этой атаки мы разобрали протокол взаимодействия с серверами каршеринга и смогли побрутить pin-коды. И да, мы использовали WI-FI.

Нас в первую очередь интересовали рабочие учетные записи потенциальных жертв, где есть карточка и пройдена верификация службой безопасности.

Мы не смотрели в сторону тестовых учетных записей, не могу подтвердить или опровергнуть информацию об их наличии в том или ином приложении. Однако склонен полагать что внимание со стороны оператора каршеринга к этим учеткам максимальное.

Безусловно, планируем проводить дополнительные исследования. Мы очень надеемся и готовы всячески содействовать в процессе совершенствования этих приложений. Да, конечно, операторы каршенинга по достоинству оценили нашу работу. Добрый день! Когда первый раз читал отчеты, то не понял этого. До этого никак не интересовался вопросами кибербезопасности. Как обыватель, очень сомневаюсь, что внимание к бэкдорам как-то поможет. Да и следят ли они за этими учетками — лишь ваше предположение.

А они, судя по отчету Solar Security есть. Код можно декомпилировать. А значит получить полный доступ. Этого достаточно. Пугающая угроза. Я могу ошибаться, но безопасность приложений каршеринга, должна быть не хуже, чем у банковских приложений. Как у Сбербанка, который работает с вами. К сожалению, нет никакой информации об этом. СМИ как-то вяло эту тему освещают. А сетевые порталы лишь бездумно перепечатывают куски из отчета. Новостей на от операторов каршеринга так же нет.

Отправлял письма с сообщением о выходе вашего отчета тем сервисам, которыми пользуюсь. Ответили только в Яндекс. Драйве и BelkaCar о том, что получили. Остальные молчат.

ВЫБЕРИТЕ ВАШУ БИЗНЕС-МОДЕЛЬ

Ваши клиенты смогут завешать аренду в любом месте города в пределах зон, которые вы сами утверждаете. Клиенты регистрируются самостоятельно и сами находят ваши автомобили. Вы занимаетесь эксплуатацией автопарка. Значительно упрощается процедура получения клиентом автомобиля в аренду.

Разработка приложения под каршеринг

Если Вам необходима помощь справочно-правового характера у Вас сложный случай, и Вы не знаете как оформить документы, в МФЦ необоснованно требуют дополнительные бумаги и справки или вовсе отказывают , то мы предлагаем бесплатную юридическую консультацию:. Идея создать агрегатор появилась у Тимофея, когда он столкнулся с неудобствами:. Для Android приложение создал Алексей Захаренко. Также в команду CarShare входит тестировщик Андрей Шевцов.

Если Вам необходима помощь справочно-правового характера у Вас сложный случай, и Вы не знаете как оформить документы, в МФЦ необоснованно требуют дополнительные бумаги и справки или вовсе отказывают , то мы предлагаем бесплатную юридическую консультацию:. Идея создать агрегатор появилась у Тимофея, когда он столкнулся с неудобствами:. Для Android приложение создал Алексей Захаренко. Также в команду CarShare входит тестировщик Андрей Шевцов. При этом команда CarShare не контактировала с самими операторами, и Тимофей не знает, в курсе ли они о его приложении. CarShare — проект на энтузиазме: дизайн для него делала сестра Тимофея, продвижением в Instagram занимается супруга разработчика, политику конфиденциальности прописал друг-юрист. Поскольку совокупный автопарк минского каршеринга небольшой, скачиваний у приложения не слишком много, но Тимофей считает свой продукт удачным и сравнивает с московскими агрегаторами:.

Ваши клиенты смогут завешать аренду в любом месте города в пределах зон, которые вы сами утверждаете.

Идея создать агрегатор появилась у Тимофея, когда он столкнулся с неудобствами:. Для Android приложение создал Алексей Захаренко. Также в команду CarShare входит тестировщик Андрей Шевцов.

Мобильное приложение для такси и каршеринга

.

.

Как сделать агрегатор каршеринга? История приложения CarShare

.

Спасибо за обращение!

.

Тимофей Величко, разработчик приложения carShare для минских На разработку CarShare для iOS у Тимофея ушло около 60 часов.

Каршеринг: самое удобное и понятное приложение

.

.

.

.

.

ВИДЕО ПО ТЕМЕ: С чего начать создание мобильного приложения
Комментарии 0
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий

  1. Пока нет комментариев.