В Роскачестве оценили приложения для аренды самокатов и велосипедов
Специалисты прогнозируют, что до конца года рынок аренды самокатов вырастет на 300% или на 10 млрд рублей. Если в начале 2020 в стране было не больше 10 тысяч самокатов, то по данным на апрель 2021 года на всех операторов кикшеринга приходится уже около 85 тысяч. Намерения инвестировать в сервисы микромобильного транспорта высказали Яндекс, mail.ru, МТС и Сбербанк. Абсолютное большинство — около 60 тысяч самокатов — приходится на сервисы Urent и Whoosh.
Рынок аренды велосипедов развивается медленнее: осенью 2020 года в Москве работали 662 пункта проката, в которых насчитывалось 6,5 тысяч велосипедов. Весной 2021 года к ним добавится 67 новых станций проката и 1000 новых велосипедов, половина из которых — электрические.
Сейчас правительство рассматривает возможность приравнять самокаты к транспортным средствам, чтобы ограничить скорость и снизить аварийность на дорогах. Однако пользователей приложений для аренды все больше. Роскачество оценило информационную безопасность программного обеспечения.
Как пользоваться сервисами аренды велосипедов и самокатов?
Большинство сервисов велопроката и кикшеринга работают по одинаковой несложной схеме:
• Скачать мобильное приложение и зарегистрироваться.
• Выбрать способ оплаты и тариф.
• Найти на карте ближайшую базу или самокат.
• Подойти к транспортному средству и активировать его по инструкции в приложении.
При проверке кикшеринговых и велопрокатных сервисов на информационную безопасность Роскачество совместно с юристами из АНО «ПравоРоботов» проанализировало их политики конфиденциальности. Всего было изучено 68 приложений.
Безопасность оценивалась по 8 критериям:
● Запрос минимально необходимых пользовательских данных
● Запрос необходимых разрешений
● Безопасность передачи информации в приложении
● Безопасность передачи информации о клиентах
● Согласие на обработку и хранение данных
● Ссылка на политику конфиденциальности
● Сложность пароля
● Удаление аккаунта
Приложения для Android проверялись с помощью анализатора уязвимостей Solar appScreener. Значительная часть приложений имеет схожую архитектуру, где меняется только дизайн и контент.
Сложность пароля
Все изученные сервисы, кроме двух, имеют доступ в приложение по одноразовым SMS-кодам, что повышает надежность и исключает ряд рисков. Более низкий уровень безопасности продемонстрировали только сервисы «ВелоБайк — городской велопрокат Москвы» и «Велобайк Мультигорода». Эти приложения присылают разовый логин и PIN-код.
Запрос только минимально необходимых пользовательских данных
Как правило, при авторизации в сервисе онлайн-проката велосипедов мы стремимся вводить абсолютный минимум своих персональных данных, но в случае с сервисом проката расширенные данные запрашивает 21% всех приложений. В частности, приложения Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Берисамокат, Bike&Go требуют имя и фамилию. E-motion оказалось единственным приложением, которое попросило при регистрации фото паспорта или водительских прав.
Запрос только необходимых разрешений
Информационная безопасность приложения во многом определяется его доступами. Для полноценной работы приложения необходимы только два: запрос местоположения и доступ к камере. Наибольшее количество избыточных доступов было зафиксировано у BusyFly: осуществление телефонных вызовов, отключение спящего режима, а также запуск при включении устройства. BikeMe осуществляет поиск аккаунтов на устройстве, а ScooBee запрашивает разрешение на показ поверх всех окон — это один из самых потенциально опасных доступов.
Удаление аккаунта
Ни одно из приложений, кроме Whoosh, не позволяет удалить свой аккаунт. Однако, это можно сделать, обратившись в службу поддержки сервисов.
Безопасность передачи данных
В ходе исследования специалисты Роскачества анализировали данные, которые передают приложения, перехватывая трафик с использованием специализированного ПО. У трех приложений системные данные о геолокации передаются в открытом доступе: «lite — ride here, ride now», «Зеленый город» и «Matur.city». При желании таким образом можно отследить текущее местонахождение пользователя, однако чаще человек отправляет данные о своей геолокации в момент взятия в аренду самоката или велосипеда, находясь под открытым небом. Это минимизирует риск того, что злоумышленник встроится в канал и сможет манипулировать передаваемыми данными. Более важно, что все приложения продемонстрировали безопасную передачу данных пользователя.
Согласие на обработку и хранение данных
Согласие пользователя на передачу и обработку своих данных является важнейшим принципом при предоставлении онлайн-услуг. Согласие запращивается у 100% исследованных приложений, но именно активное согласие запрашивают лишь 24%.
Уязвимые места в приложениях онлайн-проката самокатов и велосипедов
Специалисты также провели оценку потенциальных уязвимостей и недокументированных возможностей приложений при помощи специализированного ПО «Solar appScreener». Наиболее значимая и распространенная потенциальная уязвимость — это использование незащищённого протокола HTTP (у 90% приложений на Android), с ней схожа небезопасная собственная реализация SSL (у 34%). Внедрение в запрос к базе данных SQLite зафиксировано у 22%, обращение к DNS у 82% приложений. Алгоритм шифрования у большинства приложений реализован хорошо, потенциальные уязвимости выявлены только у 12% рассмотренных приложений.
«Мобильные приложения с низким уровнем защищённости способны поставить под удар большой объём чувствительных данных о пользователе. Это могут быть ФИО, номер телефона, email, геолокация, номер банковской карты и другое. Защита этих сведений входит в зону ответственности разработчиков. Исследуемые популярные в России сервисы показали высокий уровень защищённости. При этом не стоит забывать, что каждая новая версия приложения требует анализа качества программного кода и его защищенности, — рассказалдиректор центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов.
Правовая оценка
Политики конфиденциальности всех приложений получили достаточно высокие оценки. Из недостатков — не все указывают в документе информацию о хранении данных на территории РФ — она отсутствует у 9% приложений, среди них можно отметить MOLNIA, VEZU и Red Wheels. Также разработчик обязан указывать в политике все идентификаторы третьих лиц, в том числе их наименование ИНН или ОГРН, но подобные данные отсутствуют в 53% случаев. У Bike&Go и GoBike предусматривается возможность трансграничной передачи персональных данных. У GreenBee, «Зеленого Города» и Seagull правообладателем всей персональной информации является ИП. А «Велобайк» официально запрещает использовать прокатный велосипед в качестве имущественного вклада в хозяйственные товарищества и общества.
Как пользователю приложения велопроката обезопасить свои данные?
Никита Куликов, генеральный директор АНО «ПравоРоботов»
«Почти все приложения делятся данными клиента с третьими лицами, пусть и обезличенными. В любом случае пользователю следует придерживаться общих принципов безопасности: следить за доступами, которые требует приложение, указывать только необходимый минимум данных о себе. Не следует отправлять сканы документов или привязывать платежные данные к подозрительным программам».
Выводами исследования делится руководитель Центра цифровой экспертизы Роскачества Антон Куканов:
«Ни одно из замечаний, которые можно предъявить по результатам их анализа, не влияет на непосредственный пользовательский опыт. Единственный момент, на который стоит обратить внимание — не меняющийся со временем логин и PIN-код, который теоретически можно использовать для постороннего доступа».
Рекомендации Роскачества
«В целом риск при использовании приложений велопроката маловероятен, и приложения от крупных игроков данного рынка рекомендуются Роскачеством к использованию. Будьте, однако, осторожны при скачивании приложений малоизвестных сервисов и всегда обращайте внимание на доступы, которые требуются при установке. При выборе сервиса имейте в виду, что они предоставляют свои зоны покрытия и парковки, что важно при планировании маршрута»,— рекомендует Куканов. Giraff.io widget