Centrum digitálnej expertízy spoločnosti Roskačestvo uskutočnilo prieskum najpopulárnejších mobilných aplikácií na objednávanie taxíkov. Odborníci zistili, ktoré služby sú najbezpečnejšie a najfunkčnejšie, a preto ich odporúčame používať, a ktoré je lepšie zo smartfónu úplne odstrániť.
Podľa prieskumu, ktorý v decembri 2023 uskutočnila Nadácia pre verejnú mienku, využilo v minulom roku taxislužbu celkovo 66 % Rusov vo veľkých mestách je to až 73 % . 4 % Rusov jazdí taxíkom takmer každý deň, 10 % niekoľkokrát týždenne, 22 % niekoľkokrát mesačne a 29 % niekoľkokrát ročne. Väčšina obyvateľov Ruskej federácie 69 % si už na službu zvykla a považuje ju za bezpečnú. Je to naozaj tak?? Roskachestvo naposledy skúmalo mobilné aplikácie na objednávanie taxíkov v decembri 2023. V tom čase mali experti spoločnosti Roskatchestvo veľa otázok o bezpečnosti mobilných aplikácií.
Aby sme zistili, ako funkčné, kvalitné a bezpečné sú aplikácie pre taxíky, Roskachestvo otestovalo 22 aplikácií: po 11 pre iOS a Android. Okrem toho odborníci analyzovali nepopulárne aplikácie na objednávanie taxíkov mimo hlavného rebríčka z hľadiska bezpečnosti. Spomedzi viac ako 100 takto skúmaných programov boli zistené neisté programy.
Prvá päťka sa tento rok príliš nezmenila: dostal sa do nej Taxovičkof, ktorý bol v poslednej štúdii až na 7. mieste, zatiaľ čo „strieborný medailista“ z roku 2023 Uber, naopak, z lídrov vypadol. Na oboch platformách bola spoločnosť Gett tiež preradená na 5. miesto. Aplikácie Yandex Go, Taxovichkof a Citimobile v systéme Android boli zistené ako najlepšie vo všetkých kritériách, pričom aplikácie Yandex Go, Maxim a Taxovichkof v systéme iOS.
Počas výskumu experti spoločnosti Roskatchestvo používali aplikáciu ako bežní používatelia: objednávali a cestovali taxíkom, analyzovali aplikáciu a jej funkcie, pridávali adresy do obľúbených a žiadosti o objednávky, študovali profily vodičov informácie o vodičoch, vozidlách, dopravnej spoločnosti atď. Uskutočnil sa aj dodatočný bezpečnostný test aplikácií pomocou špecializovaného softvéru. Test sa uskutočnil na základe 139 kritérií, testovali sa všetky kľúčové funkcie, hodnotil sa komfort, bezpečnosť informácií, výkon a spoľahlivosť aplikácií na objednávanie taxíkov.
Hodnotenia aplikácií vychádzali z hĺbkových rozhovorov s používateľmi taxislužby, ktoré viedli odborníci z Roskachestvo, a zo sémantickej analýzy viac ako 900 recenzií v App Store a Google Play Market.
Funkčnosť
Jednou z najdôležitejších spotrebiteľských funkcií každej mobilnej aplikácie je funkčnosť. Odborníci skúmali karty vodičov a vozidiel, funkciu objednania vozidla, možnosť zanechať želania na cestu deti, batožina, domáce zvieratá atď. , zobrazenie jeho histórie, funkčnosť nastavení a ďalšie.
nedostatky, na ktoré upozornili odborníci: DiDi nezobrazuje budovy na mape toto bolo opravené vo verzii, ktorá bola vydaná po ukončení prieskumu a Rutaxi nezobrazuje polohu používateľa. Gett, DiDi a Bolt neposkytujú možnosť objednať auto pre inú osobu. Didi a Bolt tiež neumožňujú pri objednávke určiť príjazdovú cestu. Gett je jediná taxislužba bez možnosti zadávať medzizastávky. Gett, Bolt a Uber neumožňujú objednať si druhé auto. „Poďme“ a DiDi neumožňujú zobrazenie posledných adries. Outsidermi z hľadiska hodnotenia kariet boli Veset a Rutaxi, ktoré v skutočnosti nemajú kartu vodiča a majú len informácie o vozidle. Menej ako polovica aplikácií má fotografiu a hodnotenie vodiča.
DiDi nemá žiadnu funkciu, ktorá by umožňovala zanechať želania na objednávku. Možnosť požiadať vodiča o pomoc pri nastupovaní je k dispozícii len v mestách Maxim, Poleta a Taxovičkof, čo je dôležité najmä pre cestujúcich s obmedzenou pohyblivosťou. Polovica služieb tiež nemá možnosť označiť dostupnosť batožiny alebo potrebu voľného miesta na umiestnenie batožiny.
Počas samotnej cesty sa hodnotili rôzne funkcie, ktoré cestujúcim uľahčujú život. Ak sú komunikácia s vodičom pred nástupom a oznámenie o príchode vozidla implementované ako základné funkcie všetkých aplikácií, potom oznámenie vodiča cestujúceho o jeho odchode je zriedkavejšie má ho len 45 % aplikácií . A dôležitá možnosť zdieľať odkaz na jazdu s tretími stranami, ktorá je dôležitá pre bezpečnosť cestujúcich, je prítomná takmer vo všetkých aplikáciách – okrem Citimobile, Gett a Rutaxi.
Menej ako polovica aplikácií umožňuje zmeniť spôsob platby počas cesty, zatiaľ čo ostatné vám to umožnia až do okamihu objednania. Najvzácnejšou funkciou v skupine bolo tlačidlo SOS – majú ho len Yandex Go, DiDi a Bolt. Táto funkcia umožňuje vytočiť číslo 112 jediným dotykom alebo zdieľať svoju polohu s dôveryhodnými kontaktmi. Všetky služby okrem „Rutaxi“ a „Taxovichkof“ umožňujú zmenu trasy po začatí cesty.
Aplikácie na objednávanie taxíkov boli hodnotené z hľadiska dostupnosti všetkých spôsobov platby hotovosť, bezhotovostný platobný styk, Google/Apple Pay , ako aj pohodlia bezhotovostnej platby prepojenie viacerých kariet, automatické vyplnenie údajov naskenovaním karty , možnosti nastaviť prepitné pred a po jazde obe možnosti sú dostupné v 45 % aplikácií . Menej ako polovica aplikácií podporuje bezhotovostné platby pomocou služieb tretích strán, keďže mnohé umožňujú skenovanie karty.
Oddelene od ostatných funkcií sa hodnotila možnosť pridať konkrétneho vodiča na čiernu listinu v aplikácii iba DiDi v systéme Android, Yandex Go, Gett a Uber v systéme iOS . Ukážka hodnotenia používateľa podobne ako hodnotenie vodiča nebola vyhodnotená, cestujúci ju môže vidieť len v aplikácii Yandex Go.
Podľa výsledkov testu sú najfunkčnejšími aplikáciami v systéme Android Yandex Go, Taxovichkof a Poholyadlya. V systéme iOS – Yandex Go, Taxovitchcof a Gett
Okrem funkčnosti odborníci testovali aj použiteľnosť aplikácií. Špecialisti vykonali testovanie použiteľnosti aplikácie s viac ako 180 bežnými používateľmi. Počas štúdie používatelia dostali testovacie úlohy, ako napríklad nájsť v rozhraní možnosť zanechať komentár k ceste alebo zmeniť spôsob platby, a ich akcie boli analyzované. To im umožnilo posúdiť prehľadnosť a použiteľnosť rozhrania aplikácie. Uber a Yandex boli pre používateľov najpohodlnejšie na interakciu.Choďte.“.
Pomoc v aplikácii je plne implementovaná iba v aplikácii Yandex.Go“ a Uber chat alebo formulár spätnej väzby, pomoc pri používaní služby, možnosť zavolať na podporu .
Prispôsobenie pre osoby so zdravotným postihnutím podpora dynamických fontov a čítačiek obrazovky VoiceOver Talkback je plne prítomné len v aplikácii Taxovicof na systéme Android. Aplikácie pre iOS tradične dosahujú v tomto kritériu horšie výsledky kvôli technickým špecifikám platformy, pričom iba Citimobile získal 4 body.
Všetky skúmané aplikácie nemajú vložený reklamný materiál, okrem aplikácie Taxovichkof, ktorá má vloženú reklamu na službu rozvozu jedla.
Zabezpečenie
Bezpečnosť informácií je pre služby objednávania taxíkov veľmi dôležitá, pretože používateľ v aplikácii uvádza svoje platobné údaje a v niektorých prípadoch aj osobné údaje. V rámci výskumu sme posudzovali, či služba požaduje len minimum požadovaných údajov a oprávnení používateľa. Bezpečnosť prenosu údajov aplikácie a údajov používateľa sa analyzovala samostatne.
S cieľom skontrolovať bezpečnosť prenosu dát odborníci zachytili všetku prevádzku odoslanú aplikáciou pomocou špeciálneho softvéru Wireshark a potom ju analyzovali na prítomnosť nešifrovaných dát. Zachytávanie prevádzky úspešne zvládli všetky verzie DiDi a Veset pre Android okrem týchto: Didi prenáša nešifrované obrázky aplikácií obsah , zatiaľ čo Veset prenáša súradnice používateľa a cieľovú adresu, čo je oveľa závažnejšie.
Zachytením týchto údajov by podvodník mohol potenciálne vysledovať cestu k cieľu obete a použiť tieto informácie na cielený útok. Všetky aplikácie okrem DiDi, Bolt a Uber majú viazanie bankových kariet prostredníctvom 3-D Secure.
Tento rok boli všetky aplikácie bezpečné a zabezpečené, pričom 73 % služieb pre iOS a Android získalo hodnotenie 4 alebo vyššie. DiDi a Bolt na oboch platformách boli znížené pre nadmerné požiadavky na údaje počas registrácie.
Okrem toho odborníci spoločnosti Roskatchestvo otestovali všetky aplikácie pre Android pomocou skenera zraniteľností Solar appScreener s použitím technológie automatickej binárnej analýzy bez spätného inžinierstva dekompilácie zdrojového kódu .
V dôsledku toho boli identifikované tieto potenciálne zraniteľnosti: nezabezpečená natívna implementácia SSL v 54 %, nezabezpečená reflexia v 81 %, použitie nezabezpečeného protokolu HTTP v 90 %, slabý hashovací algoritmus v 72 %, slabý šifrovací algoritmus v 9 %, injektáž dotazu databázy SQLite v 18 %, dotaz DNS v 90 %.
Okrem 22 známych aplikácií zahrnutých do prieskumu odborníci skontrolovali aj bezpečnosť približne stovky ďalších, oveľa menej populárnych aplikácií 65 % z nich bolo pre Android .
V niektorých aplikáciách, ktoré spoločnosť Roskachevo testovala samostatne, sa našli „diery“, ktoré by mohli mať pre používateľov nepríjemné následky. Nechránený prenos súradníc cestujúcich bol zistený v najmenej 5 aplikáciách; v niektorých prípadoch bol sprevádzaný telefónnym číslom a modelom alebo dokonca osobnými údajmi používateľa. Existuje riziko, že kyberzločinci by mohli získať tieto údaje, ktoré by neskôr mohli použiť proti obeti,“ povedal Anton Kukanov, vedúci centra digitálnych expertíz spoločnosti Roskachevo.
Nešifrované telefónne číslo v Saturn Taxi, RED TAXI, UpTaxi, GHOST Taxi Order je potenciálnou zraniteľnosťou, pretože útočník môže zachytiť údaje a získať k nim prístup. Konkrétny model telefónu je tiež nežiaducou informáciou, pretože každý model telefónu má svoje vlastné zraniteľnosti, ktoré môžu útočníci zneužiť, ak sa cielene zameriavajú na obeť. Týka sa to najmä starších modelov smartfónov.
Osobné údaje pre spoločnosť Taxi Saturn sú telefónne číslo a meno, čo sú veľmi citlivé informácie. Súradnice v X-Scar v najhoršom prípade -TAXI -SV a UpTaxi, Taxi, NonStop, útočník môže získať súradnice cieľa, ale väčšinou sa prenášajú súradnice skutočnej polohy. Všetky tieto zraniteľnosti a potenciálne hrozby pre bezpečnostný perimeter. Preto sa odporúča nepoužívať Fi napr. aplikácie, ak je telefón pripojený k verejnej sieti Wi-Fi a používať na tento účel mobilný internet. -reštaurácia alebo hotel
Zásady ochrany osobných údajov
Kontrola, či sú zásady ochrany osobných údajov aplikácie na objednávanie taxíkov v súlade so zákonom „O osobných údajoch“ č. 152-FZ z 27.07.2006 vykonali právnici autonómnej neziskovej organizácie „PravoRobotov. V tejto štúdii tvorila príslušná skupina 17 testovacích parametrov 10 % výsledného skóre aplikácií.
Právnici analyzovali politiky z hľadiska súladu s Slovenskámi právnymi predpismi a tiež skontrolovali aplikácie z hľadiska kritérií dôležitých pre používateľov, ako sú podmienky ukončenia spracúvania osobných údajov, určenie toho, kto je zodpovedný za zhromažďovanie osobných údajov a komu sa odovzdávajú, a dostupnosť slovníka pojmov a lokalizácie v Slovenskom jazyku v používateľskej dokumentácii služieb. Skontrolovali sme aj informácie o poistení cestujúcich v samotnej aplikácii sú uvedené v plnom znení, zvyšok dokumentu sa otvorí v prehliadači .
Zásady poskytovania služieb spoločnosti Bolt obsahujú odkaz na prenos údajov tretím stranám, okrem tých, ktoré sa vyžadujú zo zákona, a pridružených spoločností, pričom nie je uvedený žiadny zoznam samotných tretích strán. V zásadách spoločnosti Uber chýbajú informácie o spracúvaných osobných údajoch. Za zmienku stojí aj automatický súhlas používateľov so zasielaním reklamy napr. od spoločností maxim a Taxoviccof .
Gett dokonca zhromažďuje informácie, ako je výkon batérie a siete napr. stav batérie a využitie nabíjačky , ako aj názvy súborov, typy súborov a ich veľkosti vo vašom zariadení vrátane množstva voľného a použitého miesta na vašom miestnom úložnom zariadení.
V zásadách ochrany osobných údajov všetkých služieb, okrem Taxoviccof, sa uvádza, že údaje používateľov sa majú zdieľať s tretími stranami. To zvyčajne zahŕňa zber údajov o používaní aplikácií používateľmi.
Nikita Kulikov, kandidát.t.n., Generálny riaditeľ, PravoRobotov ANO
„Štúdia zistila, že viaceré služby okrem svojich priamych povinností poskytovať prepravu občanom zhromažďujú nadmerné množstvo údajov, ktoré priamo nesúvisia s činnosťou objednávania taxislužby. Niektoré služby dokonca zdieľajú vaše údaje s tretími stranami vrátane zahraničných. V tejto súvislosti je dôležité, aby si každý používateľ uvedomil, že aj v tých najnezrejmejších situáciách môže byť dôvernosť vašich osobných údajov ohrozená.“.
Negatívne a pozitívne aspekty zásad ochrany osobných údajov, na ktoré právnici odporúčajú dávať pozor, sú uvedené na kartách jednotlivých aplikácií. Štúdia bola vykonaná v súlade s metodikou testovania založenou na predbežnej národnej norme pre porovnávacie testovanie mobilných aplikácií PNST 277-2023
Ahoj! Akými spôsobmi Roskachestvo posúdilo aplikácie na objednávanie taxíkov a aké bezpečnostné nedostatky identifikovalo? Existujú nejaké konkrétne aplikácie, ktoré môžete odporučiť ako bezpečné? Ďakujem za odpoveď!