Roskachestvo preskúmalo aplikácie, ktoré umožňujú požičať si bicykle a kolobežky.

Skúmalo sa osem aplikácií na prenájom bicyklov a 27 aplikácií na zdieľanie bicyklov na oboch mobilných platformách: Bike&Go, BikeMe, Bumerang Lifcar , BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Almetyevsk, GreenBee, lite, LuckyBike, Matur.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamokat, VeloBike, Velobike MultiCity, Green City, Carousel, CityMobile.

Koľko bicyklov a skútrov je na prenájom v Rusku?

Trh s prenájmom skútrov v Rusku rýchlo rastie. Do konca roka sa predpokladá nárast o 300 %: 10 miliárd Euro. Zatiaľ čo na začiatku roka 2023 nebolo v Rusku viac ako 10 000 kolobežiek, od apríla tohto roka ich je už približne 85 000 pre všetkých prevádzkovateľov kickshare, a to nie je limit. Zámer investovať do služieb mikromobility vyjadrili také veľké spoločnosti ako Yandex, mail, MTS a Sberbank. Služby Urent a Whoosh predstavujú prevažnú väčšinu dopravy – približne 60 000 skútrov.

Trh s požičovňami bicyklov sa rozvíja pomalšie: na jeseň 2023 fungovalo v Bratislave 662 požičovní bicyklov, ktoré poskytovali 6,5 tisíc bicyklov. Na jar tohto roku k nim pribudne 67 nových požičovní a 1 000 nových bicyklov, z ktorých polovica bude elektrických. To už je porovnateľné s mestami ako Londýn 18 tisíc alebo New York 8 tisíc . Tohtoročná sezóna požičiavania bicyklov sa začala o mesiac skôr ako zvyčajne, začiatkom apríla. Moskovské ministerstvo dopravy to vysvetľuje tým, že v pandemickom roku sa služba požičiavania bicyklov prostredníctvom aplikácie stala medzi obyvateľmi veľmi populárnou viac ako 8 miliónov ciest .

Dopravná polícia zaznamenala nárast nehôd s účasťou mikrobicyklov, vláda však uvažuje o zrovnoprávnení kolobežiek s vozidlami s cieľom obmedziť rýchlosť a tým znížiť počet obetí. Používatelia aplikácií na prenájom však čoraz častejšie. Spoločnosť Roskatchestvo posúdila informačnú bezpečnosť takýchto aplikácií a varovala pred rizikami.

Väčšina služieb požičiavania bicyklov a kickshare sa riadi rovnakým nekomplikovaným systémom:

– Musíte si stiahnuť mobilnú aplikáciu a prejsť procesom registrácie.

– Výber spôsobu platby a tarify, ak ju služba poskytuje.

– Nájdite najbližšiu základňu alebo skúter na mape.

– Pristúpte k vozidlu a aktivujte ho podľa pokynov v aplikácii.

Pri kontrole služieb kickshare a požičiavania bicyklov z hľadiska bezpečnosti informácií spoločnosť Roskatchestvo spolu s právnikmi z PravoRobotov analyzovala aj ich zásady ochrany osobných údajov. Celkovo bolo preskúmaných 68 aplikácií po 34 pre iOS a Android . Do štúdie boli zahrnuté aplikácie, ktoré v čase testovania ponúkali možnosť prenájmu mikromobilnej dopravy, pričom sa skúmali aplikácie pôsobiace v hlavnom meste aj regionálne služby.

Bezpečnosť aplikácií sa posudzovala podľa ôsmich kritérií:

Vyžadovanie minimálnych potrebných údajov používateľa

● Žiadosť o potrebné povolenia

● Zabezpečenie prenosu údajov aplikácie

● Bezpečnosť prenosu údajov používateľa

● Súhlas so spracovaním a uchovávaním údajov

● Prepojenie na zásady ochrany osobných údajov

● Zložitosť hesla

● Vymazanie účtu

Aplikácie pre Android boli tiež testované na potenciálne zraniteľnosti pomocou analyzátora zraniteľností Solar appScreener. Veľká časť aplikácií má podobnú architektúru, kde sa mení len dizajn a obsah.

Zložitosť hesla

Všetky skúmané služby požičiavania bicyklov okrem dvoch majú prístup do aplikácie prostredníctvom jednorazových SMS kódov, čo zvyšuje bezpečnosť a eliminuje riziko, že si bicykel alebo kolobežku požičajú iné osoby pod účtom tretej strany. Nižšiu úroveň bezpečnosti vykázali iba požičovne bicyklov VeloBike Moscow City a VeloBike MultiCity. Aplikácie vám zašlú jednorazové prihlasovacie meno a kód PIN, ktoré sa časom nemenia. Po získaní prihlasovacieho mena a hesla môže škodca potenciálne využiť službu na vlastné účely, napríklad na jazdu na účet cudzej prepojenej karty alebo dokonca na krádež dopravného prostriedku, po ktorej bude mať služba otázky k majiteľovi účtu: bude musieť dokázať, že sa neprevinil. Napríklad, ak bicykel nevrátite po 48 hodinách prenájmu,

„Velobike účtuje majiteľovi účtu pokutu 30 000 Euro. Ostatné aplikácie na požičiavanie bicyklov majú podobné sankcie.

Vyžadovanie len minimálnych potrebných údajov používateľa

Pri prihlasovaní do online požičovne bicyklov zvyčajne zadávame absolútne minimum osobných údajov, ale v prípade požičovne si rozšírené údaje vyžaduje 21 % všetkých aplikácií. Aplikácie Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamokat a Bike&Go vyžadujú najmä meno a priezvisko. E-motion bola jediná aplikácia, ktorá pri registrácii vyžadovala fotografiu pasu alebo vodičského preukazu hoci tento krok možno pri registrácii vynechať bez viditeľných následkov .

Vyžadovanie len nevyhnutných schválení

Bezpečnosť aplikácie je do veľkej miery daná jej dostupnosťou. Na plnohodnotné fungovanie aplikácie na prenájom mikromobilov sú potrebné len dve: vyhľadávanie polohy a prístup k fotoaparátu na skenovanie kódu QR . Všetky ostatné prístupy v rámci štúdie boli považované za nadbytočné. BusyFly mal najvyšší počet nadbytočných prístupov: telefonovanie, vypnutie režimu spánku, ako aj spustenie po zapnutí zariadenia. BikeMe vyhľadáva účty vo vašom zariadení, zatiaľ čo ScooBee požaduje povolenie na zobrazenie vo všetkých oknách – ide o jeden z potenciálne najnebezpečnejších prístupov. 85 % analyzovaných aplikácií v systéme Android nepožaduje nadmerný prístup, v systéme iOS je toto číslo ešte vyššie vzhľadom na špecifiká samotného operačného systému.

Vymazanie účtu

Žiadna z aplikácií, ktoré odborníci skúmali, okrem aplikácie Whoosh, neumožňuje vymazanie účtu pomocou funkcie implementovanej v programe. Môžete to však urobiť tak, že kontaktujete tím podpory služby. Vývojári služby Eleven sľúbili Roskachevo pridať možnosť odstrániť účet v ďalšej aktualizácii.

Bezpečnosť prenosu údajov

Počas prieskumu Roskatchestvo analyzovalo údaje, ktoré prenášajú aplikácie zachytávajúce prevádzku pomocou špecializovaného softvéru. Tri aplikácie majú systémové geolokačné údaje vo verejnej doméne: „lite – ride here, ride now“, „Green City“ a „Matur.mesto“. V prípade potreby to možno použiť na sledovanie aktuálnej polohy používateľa, ale najčastejšie osoba odošle svoje geolokačné údaje, keď si prenajme skúter alebo bicykel, na otvorenom priestranstve. Tým sa minimalizuje riziko, že sa narušiteľ usadí v kanáli a bude môcť manipulovať s prenášanými údajmi. A čo je dôležitejšie, všetky aplikácie preukázali bezpečný prenos údajov používateľa. To znamená, že osobné a platobné údaje budú pri používaní aplikácií analyzovaných spoločnosťou Roskachevo v bezpečí.

Súhlas so spracovaním a uchovávaním údajov

Súhlas používateľa so zdieľaním a spracovaním jeho údajov je najdôležitejšou zásadou pri poskytovaní moderných online služieb. Všetkých 100 % skúmaných aplikácií vyžadovalo nejakú formu súhlasu, ale len 24 % aktívne vyžadovalo súhlas.

Zraniteľnosti v online aplikáciách na prenájom skútrov a bicyklov

Špecialisti tiež vyhodnotili potenciálne zraniteľnosti a nedokumentované možnosti aplikácií pomocou špecializovaného softvéru Solar appScreener. Najvýznamnejšou a najrozšírenejšou potenciálnou zraniteľnosťou je používanie nezabezpečeného protokolu HTTP 90 % aplikácií pre Android a nezabezpečená natívna implementácia protokolu SSL 34 % . Injekciu do databázy SQLite odhalilo 22 % aplikácií, dotaz DNS odhalilo 82 % aplikácií. Väčšina aplikácií má dobrý šifrovací algoritmus, pričom len 12 % skúmaných aplikácií vykazuje potenciálne zraniteľnosti.

Daniel Černov, riaditeľ Solar appScreener v spoločnosti Rostelecom Solar.

„Aplikácie na požičiavanie mobilných bicyklov a kolobežiek s nízkou úrovňou zabezpečenia môžu ohroziť veľké množstvo citlivých údajov používateľov. Môže to byť meno, telefónne číslo, e-mail, geografická poloha, číslo bankovej karty a ďalšie údaje. Za ochranu týchto údajov sú zodpovední vývojári. Obľúbené ruské služby v prieskume vykazovali vysokú úroveň bezpečnosti. Nezabudnite, že každá nová verzia si vyžaduje analýzu kvality softvérového kódu a jeho bezpečnosti

Právne posúdenie

Zásady ochrany osobných údajov všetkých aplikácií získali pomerne vysoké skóre. Z nedostatkov nie všetky aplikácie uvádzajú v dokumente informácie o ukladaní údajov na území Ruskej federácie – 9 % aplikácií ich nemá, medzi nimi môžeme spomenúť MOLNIA, VEZU a Red Wheels. Tvorca je tiež povinný uviesť v poistnej zmluve všetky identifikátory tretích strán vrátane ich názvu TIN alebo PSRN, ale takéto údaje chýbajú v 53 % prípadov. Spoločnosti Bike&Go a GoBike majú možnosť prenášať osobné údaje cez hranice. V prípade spoločností GreenBee, Green City a Seagull je vlastníkom všetkých osobných údajov zhromaždených v rámci služby jediný vlastník. A spoločnosť Bike&Go oficiálne zakazuje používanie prenajatého bicykla ako majetkového vkladu do obchodných partnerstiev a spoločností.

Nikita Kulikov, generálny riaditeľ spoločnosti PravoRobotov

„Používatelia akejkoľvek služby by si mali byť vedomí, že všetky ich činnosti s aplikáciami, dokonca aj taká drobnosť ako odomknutie bicykla alebo kolobežky, majú digitálnu stopu a určité dôsledky. Takmer všetky aplikácie zdieľajú vaše údaje s tretími stranami, hoci anonymne. V každom prípade by mal používateľ dodržiavať všeobecné zásady bezpečnosti: sledovať prístup, ktorý aplikácia vyžaduje, uvádzať o sebe len minimum potrebných údajov. Nemali by ste posielať skeny dokumentov ani spájať platobné údaje s podozrivými aplikáciami, o ktorých používateľ nemá istotu.“.

Anton Kukanov, vedúci centra digitálnej expertízy spoločnosti Roskačestvo, sa delí o závery štúdie:

„Skúmané aplikácie na požičiavanie bicyklov a kolobežiek sú väčšinou implementované na vysokej úrovni a považujú sa za rovnako bezpečné. Žiadna z pripomienok, ktoré bolo možné na základe ich analýzy uviesť, nemala vplyv na priamu skúsenosť používateľa. Jediné, čo stojí za to zdôrazniť, je, že používateľské meno a kód PIN sa časom nemenia, čo by sa teoreticky dalo využiť na neoprávnený prístup.

Závery a odporúčania

Skúmané aplikácie na prenájom bicyklov a kolobežiek sú väčšinou implementované na vysokej úrovni. Prakticky žiadne z pozorovaní, ktoré možno na základe analýzy urobiť, nemá vplyv na priamu skúsenosť používateľa. Jediným nekritickým bodom, ktorý stojí za zmienku vzhľadom na rozsah služby , je prihlasovacie meno a PIN kód, ktoré sa v priebehu času nemenia a ktoré sa teoreticky môžu použiť na neoprávnený prístup požičovňa bicyklov Moscow City a jej variant Multicity . Všetky aplikácie boli vyhodnotené ako rovnako bezpečné, neboli identifikované žiadne nebezpečné aplikácie.

Celkovo je riziko pri používaní aplikácií na prenájom bicyklov a skútrov nepravdepodobné. Roskachevo odporúča na používanie aplikácie od hlavných hráčov na tomto trhu. Buďte však opatrní pri sťahovaní aplikácií z málo známych služieb a v každom prípade pri inštalácii vždy venujte pozornosť prístupom, ktoré vyžadujú. Pri výbere služby dbajte na to, či má vlastné pokrytie a parkovacie plochy, čo je dôležité pri plánovaní trasy.