Эксперты Роскачества изучили приложения для аренды самокатов и велосипедов, рассказали об особенностях и уязвимых местах.
По статистике, рынок аренды самокатов в стране активно растет, в этом году ожидается его увеличение на 300%. Ранее об идее инвестировать в сервисы микромобильного транспорта сообщали компании Яндекс, mail.ru, МТС и Сбербанк. Большая часть самокатов - около 60 тысяч – достались Urent и Whoosh.
На рынке аренды велосипедов ситуация другая. В 2020 году в Москве функционировали 662 пункта проката велосипедов, в которых были 6,5 тысяч велосипедов. В 2021 году к ним прибавили 67 новых станций проката и 1000 новых велосипедов. Новый сезон велопроката стартовал на месяц раньше, чем обычно. По информации Дептранса столицы, в прошлом году из-за эпидемии услуга через приложение приобрела очень большой спрос, были совершены около 8 миллионов поездок.
В рамках своего исследования Роскачество рассматривало информационную безопасность таких приложений, а также выявляло возможные риски.
Большинство платформ работает по одному принципу. Пользователю нужно скачать мобильное приложение, зарегистрироваться, выбрать способ оплаты и тариф, если это предусмотрено. Далее платформа предлагает выбрать на карте ближайшую базу или самокат. Нужно прийти к транспортному средству и активировать его по инструкции.
В ходе проверки кикшеринговых и велопрокатных сервисов на информационную безопасность эксперты Роскачества и юристы из АНО «ПравоРоботов» изучали вопрос политики конфиденциальности. Во внимание взяли 68 приложений, которые есть на iOS и Android, а также приложения, которые на момент теста предоставляли возможность аренды микромобильного транспорта, столичные и региональные.
Оценку давали по нескольким критериям: запрос минимально необходимых пользовательских данным, запрос необходимых разрешений, безопасность передачи данных приложения, безопасность передачи пользовательских данных, согласие на обработку и хранение данных, ссылка на политику конфиденциальности, сложность пароля, процедура удаления аккаунта.
Если приложение на Android, его исследовали на потенциальные уязвимости через специальный анализатор уязвимостей Solar appScreener.
Отмечается, что все проанализированные сервисы, кроме двух, обладают доступом в приложение по одноразовым SMS-кодам, что говорит о надежности и отсутствии риска аренды под сторонней учетной записью. Уровень безопасности ниже показали сервисы «ВелоБайк - городской велопрокат Москвы» и «Велобайк Мультигорода», которые рассылают разовый логин и PIN-код, его не требуется менять со временем. Таким образом, учетную запись может взломать злоумышленник, ездить за чужие деньги или украсть транспорт. В случае, если велосипед не сдан после 48 часов аренды, «Велобайк» оштрафует именно владельца учетной записи. Похожие санкции есть и у других приложений.
Часто во время авторизации в сервисе пытаются внести минимальные данные, однако в случае с сервисом проката расширенные данные просят 21% всех приложений. Имя и фамилия нужны для Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Берисамокат, Bike&Go. E-motion – единственное, где также нужно фото паспорта или водительского удостоверения.
Чтобы такое приложение могло полноценно функционировать, нужны запрос местоположения и доступ к камере для скана QR-кода. Иные доступы эксперты назвали избыточными. Более всего избыточных у BusyFly, среди них осуществление телефонных вызовов, отключение спящего режима, а также запуск при включении устройства. Приложение ищет аккаунты на устройстве, ScooBee - запрашивает разрешение на показ поверх всех окон, что считается очень опасным.
Все приложения, кроме Whoosh, не дают удалить свой аккаунт при помощи реализованной в программе функции. Пользователь см может сделать это лишь через службу поддержки сервисов. Разработчики Eleven прокомментировали для Роскачества, что будет добавлена возможность удаления в новых обновлениях.
Также были проанализированы данные, которые передают приложения, через перехват трафика с применением специализированного программного обеспечения. У трех приложений системные данные о геолокации передаются в открытом доступе: «lite – ride here, ride now», «Зеленый город» и «Matur.city». В этом случае есть возможность отследить местонахождение пользователя, но человек может скидывать данные о геолокации в момент взятия в аренду самоката или велосипеда под открытым небом, что снижает риски. Все сервисы показали безопасную передачу данных пользователя.
Один из главных принципов - согласие на передачу и обработку персональных данных. Согласие запрашивают на всех платформах, активное согласие - у 24%.
Есть и уязвимые места в работе с такими приложениями, их находили через ПО «Solar appScreener». Главная уязвимость - использование незащищённого протокола HTTP (у 90% приложений на Android), небезопасная собственная реализация SSL (у 34%). Включение в запрос к базе данных SQLite есть у 22%, обращение к DNS у 82%. Алгоритм шифрования большая часть платформ сделала на хорошем уровне, вероятные уязвимости нашли лишь у 12% приложений.
«Мобильные приложения для аренды велосипедов и самокатов с низким уровнем защищенности способны поставить под удар большой объем чувствительных данных о пользователе. Это могут быть ФИО, номер телефона, email, геолокация, номер банковской карты и другое. Защита этих сведений входит в зону ответственности разработчиков. Исследуемые популярные в России сервисы показали высокий уровень защищенности. При этом не стоит забывать, что каждая новая версия приложения требует анализа качества программного кода и его защищенности, — прокомментировал Даниил Чернов, директор центра Solar appScreener компании «Ростелеком-Солар».
Высокой оценки удостоились политики конфиденциальности всех исследованных приложений. Есть и недостатки - приложения показывают в документе информацию о хранении данных на территории России, ее нет у 9% приложений, например, MOLNIA, VEZU и Red Wheels. Обязанность разработчика – указание всех идентификаторов третьих лиц, наименование ИНН или ОГРН, таких сведений нет в 53% случаев. Так, у Bike&Go и GoBike есть возможность трансграничной передачи личных данных, а у GreenBee, «Зеленого Города» и Seagull правообладатель информации, полученной сервисом, считается ИП. «Велобайк» установил запрет на использование прокатного велосипеда как имущественного вклада в хозяйственные товарищества и общества.
«Пользователи любых сервисов должны осознавать, что все их действия с приложениями, даже такие незначительные как разблокировка велосипеда или самоката, имеют свой цифровой след и определенные последствия. Так, почти все приложения делятся вашими данными с третьими лицами, пусть и обезличенными. В любом случае пользователю следует придерживаться общих принципов безопасности: следить за доступами, которые требует приложение, указывать только необходимый минимум данных о себе. Не следует отправлять сканы документов или привязывать платежные данные к подозрительным приложениям, в надежности которых пользователь не уверен», - отметил Никита Куликов, генеральный директор АНО «ПравоРоботов».
«Исследованные приложения аренды велосипедов и самокатов в большинстве своем реализованы на высоком уровне и признаны в равной степени безопасными. Ни одно из замечаний, которые можно предъявить по результатам их анализа, не влияет на непосредственный пользовательский опыт. Единственный момент, на который стоит обратить внимание – не меняющийся со временем логин и PIN-код, который теоретически можно использовать для постороннего доступа», - добавил глава Центра цифровой экспертизы Роскачества Антон Куканов.
«В целом риск при использовании приложений велопроката маловероятен, и приложения от крупных игроков данного рынка рекомендуются Роскачеством к использованию. Будьте, однако, осторожны при скачивании приложений малоизвестных сервисов и всегда обращайте внимание на доступы, которые требуются при установке. При выборе сервиса имейте в виду, что они предоставляют свои зоны покрытия и парковки, что важно при планировании маршрута», – уточнил Куканов.
Напомним, в рамках исследования изучались приложения Bike&Go, BikeMe, Bumerang (Lifcar), BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Альметьевск, GreenBee, lite, LuckyBike, Matur.city, MOLNIA, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, VEZU, Volt, Whoosh, YES Sharing, ZEVS, «Берисамокат», «ВелоБайк», «Велобайк Мультигорода», «Зеленый город», «Карусель», «Ситимобил».
