Roskachevo identifikuje nezabezpečené aplikácie na volanie taxíkov

Centrum digitálnych expertíz spoločnosti Roskačestvo uskutočnilo prieskum 20 najpopulárnejších mobilných aplikácií na objednávanie taxíkov. Vzhľadom na to, že taxislužby zhromažďujú a ukladajú naše osobné a platobné údaje, mali by bezchybne spĺňať kritérium bezpečnosti. Viac ako 60 málo známych aplikácií bolo dodatočne analyzovaných z hľadiska informačnej bezpečnosti. Bohužiaľ, nie všetky z nich sa ukázali ako bezpečné.

Od roku 2023 trh s taxislužbami neustále rastie a rýchlo sa mení; v roku 2023 spoločnosť Yandex získala niekoľko služieb vrátane Veset a Rutaxi, ktoré predtým analyzovala spoločnosť Roskachevo, čím zvýšila svoj celkový podiel a stala sa absolútnym lídrom podľa prítomnosti 40 % celkovo, 67 % medzi agregátormi, podľa Forbesu zo septembra 2023 .

Aby sme zistili, ako funkčné, kvalitné a bezpečné sú aplikácie na objednávanie taxíkov, spoločnosť Roskachevo otestovala 20 aplikácií: po 10 pre iOS a Android. A právnici z PravoRobotov preskúmali zásady ochrany osobných údajov týchto služieb, aby sa uistili, že sú v súlade s federálnym zákonom „O osobných údajoch“ č. 152-FZ z 27… .07.2006 a zdôraznil negatívne a pozitívne aspekty, ktorým by používatelia mali venovať pozornosť.

Sergej Bodrov, vedúci Centra digitálnych znalostí spoločnosti Roskatčevo.

„Počas štúdie odborníci používali aplikácie ako bežní používatelia: objednávali si taxíky a jazdili po meste, analyzovali fungovanie a funkcie aplikácie, pridávali adresy do obľúbených položiek a požiadavky na objednávky, študovali profily vodičov informácie o vodičoch, vozidlách, dopravnej spoločnosti a pracovali na ďalších typických scenároch používania. Okrem toho sa vykonal bezpečnostný test aplikácií pomocou špecializovaného softvéru. Výsledkom bolo testovanie všetkých kľúčových funkcií a hodnotenie pohodlia, bezpečnosti informácií, ako aj výkonu a spoľahlivosti aplikácií na objednávanie taxíkov.“

Podľa výsledkov prieskumu sa vedúca aplikácia Yandex Go nezmenila, Taxovichkof ustúpil Uberu, zatiaľ čo Citimobile si zlepšil svoju pozíciu a je teraz na treťom mieste na oboch platformách iOS a Android .

Podľa výsledkov testu sú najfunkčnejšie aplikácie – Yandex Go, Taxovichkof na oboch platformách a Uber na systéme Android, ako aj Citimobile na iOS. Používateľsky najprívetivejšie aplikácie podľa prieskumu sú Yandex Go, Taxovitchkof a maxim na systéme Android a Taxovitchkof a maxim na systéme iOS. Pokiaľ ide o bezpečnosť, všetky populárne aplikácie získali dobré hodnotenie, pričom väčšina z nich získala známku 3,5 alebo vyššiu. Niektoré aplikácie pre Android boli preradené do nižšej kategórie pre „sledovače“ používateľských údajov.

Väčšina funkcií bola implementovaná na vysokej úrovni pre všetkých účastníkov. Gett a DiDi však neumožňujú privolať taxík bez predchádzajúceho zadania adresy, nie všetky aplikácie zobrazujú vzdialenosť od auta k používateľovi: funkcia chýba v aplikáciách „Pohely“, „Taxovychkof“ a maxim. Verzia DiDi pre Android nezobrazuje budovy na mape. Iba Taxoviccof, Yandex.Go, Citymobile a Uber môžu opäť vybrať nedávnu cestovnú adresu.

Ďalším dôležitým bodom pre používateľa, keď je už výber vozidla uskutočnený a vozidlo je pridelené, je profil vodiča a vozidla. Odborníci hodnotili dostupnosť mena vodiča, fotografie a hodnotenia vodiča, informácií o vozidle, informácií o dopravnej spoločnosti, dátumu registrácie vodiča v taxislužbe.

Podobne ako v minulom prieskume, aj teraz existujú medzi aplikáciami značné rozdiely v rozsahu vyplnenia profilu vodiča, od prakticky neexistujúceho profilu vodiča v aplikáciách Poholy, Omega a TapTaxi až po plne informatívnu kartu s fotografiou v aplikáciách Yandex Go, DiDi a Gett.

Ďalšia dôležitá skupina kritérií pre používateľa. V prípade, že používateľ má malé dieťa, ťažkú batožinu alebo zviera, je nevyhnutné mať na mieste vhodné filtre. Ako ukázala štúdia, nedostatok takýchto filtrov v niektorých aplikáciách je stále problémom. DiDi, Gett, TapTaxi a Uber majú najmenej možností pre žiadosti o jazdu.

Okrem toho sa hodnotila dostupnosť SOS tlačidla: Omega, Let’s go, Yandex Go a maxim, ako aj DiDi a Citimobile. Táto funkcia umožňuje vytočiť číslo 112 jediným dotykom alebo zdieľať svoju polohu s dôveryhodnými kontaktmi. Táto funkcia môže byť pre niektorých ľudí rozhodujúcim faktorom pri výbere služby.

V porovnaní s predchádzajúcim prieskumom sa zvýšila popularita možnosti pridania konkrétneho ovládača na čiernu listinu väčšina aplikácií ju má prostredníctvom požiadaviek na podporu, ale niektoré z nich umožňujú priame zablokovanie ovládača . Ukážka hodnotenia používateľov podobná hodnoteniu vodičov sa zvažovala bez hodnotenia, len Yandex Go ju má otvorenú pre cestujúcich. Citimobile má podobnú úroveň používateľského účtu.

Pri skúmaní aplikácií z hľadiska bezpečnosti odborníci hodnotili, či služba požaduje len minimum požadovaných údajov a oprávnení používateľa, ako aj to, či používateľ môže účet vymazať. Bezpečnosť prenosu údajov aplikácie a údajov používateľa sa analyzovala samostatne. Odborníci použili špecializovaný softvér Wireshark na zachytenie celej prevádzky odoslanej aplikáciou a jej analýzu na zistenie nešifrovaných údajov. Všetky aplikácie úspešne zachytili prevádzku – neboli identifikované žiadne zraniteľnosti.

Bolo zavedené aj nové kritérium: prítomnosť analytických sledovacích zariadení, ktoré zhromažďujú informácie o používateľovi. Vývojári ich pridávajú z dobrého dôvodu – aby mohli analyzovať správanie používateľov a využiť tieto informácie pri vývoji aplikácie. Bezplatné sledovacie zariadenia od veľkých spoločností ako napríklad Facebook alebo Google však prinášajú ďalšie bezpečnostné riziká: IT giganti získavajú štatistické údaje bez súhlasu používateľa. Z tohto dôvodu sa prítomnosť takýchto sledovacích zariadení považovala v prieskume za mínus. V aplikáciách pre systém iOS neboli nájdené žiadne takéto moduly, zatiaľ čo aplikácie pre Android dosiahli v tomto kritériu nižšie skóre.

60 % aplikácií má viazanie bankových kariet cez 3-D Secure. Ide o kód zaslaný prostredníctvom SMS, ktorý služba potrebuje na overenie, či karta skutočne patrí vám. Teoreticky by jej absencia mohla umožniť kyberzločincom prepojiť cudziu kartu s účtom a následne uskutočniť platby z ukradnutej karty alebo jednoducho vyzdvihnutím údajov o karte.

Okrem toho odborníci spoločnosti Roskatchestvo otestovali všetky aplikácie pre Android pomocou analyzátora zraniteľností Solar appScreener s použitím technológie automatickej binárnej analýzy bez spätného inžinierstva dekompilácie zdrojového kódu . Boli identifikované tieto potenciálne zraniteľnosti: volania DNS v 50 % prípadov, nezabezpečený odraz v 30 % analyzovaných aplikácií a nezabezpečená natívna implementácia SSL v 20 % prípadov. Slabý hashovací algoritmus v 80 % skúmaných aplikácií, nezabezpečený protokol HTTP v 70 %. 20 % implementácia v databázovom dotaze SQLite.

Okrem 20 známych aplikácií v štúdii odborníci testovali aj bezpečnosť ďalších 63 menej populárnych aplikácií: 36 v systéme Android a 27 v systéme iOS.

Na platforme iOS boli v čase objednávky otvorene prenášané len geolokačné údaje používateľa. 6 aplikácií bolo prichytených pri čine, vrátane NonStop: služba objednávania taxíkov; Taxi Pobeda; DA TAXI Tyumen a Taxi Variant. Na platforme Android vyzerá situácia horšie – odborníci napríklad identifikovali 2 aplikácie – „SV-TAXI. taxi call“ a „UpTaxi všetky mestá „, ktoré okrem vyššie uvedených geolokačných údajov prenášajú osobné údaje používateľa do verejnej sféry. telefónne číslo v jednom prípade a poverovacie údaje telefónne číslo a heslo a model zariadenia v druhom prípade. Táto zraniteľnosť by okrem priameho ohrozenia údajov mohla viesť k ďalším útokom zo strany nečestných používateľov.

Boli identifikované aj tri aplikácie pre Android, ktoré prenášali geolokačné údaje používateľa v nešifrovanej podobe, a to Taxi Order GOST, My City a Taxi Saturn+. Podobne ako v prípade systému iOS je táto zraniteľnosť, hoci nie je kritická, z hľadiska digitálnej bezpečnosti nežiaduca.

Samostatným problémom na platforme Android sú nadmerné alebo skryté prístupy aplikácií, ktoré aplikáciám poskytujú skryté funkcie a v niektorých prípadoch môžu byť dokonca škodlivé. Napríklad 17 z 36 aplikácií pre Android získalo prístup k stavu telefónu, 8 z 36 aplikácií získalo prístup k zobrazeniu kontaktov a 6 z 36 aplikácií získalo prístup k telefonovaniu.

Medzi aplikáciami, ktoré si vyžiadali všetky uvedené nadbytočné prístupy, možno spomenúť „SV-TAXI. Taxi Call, Taxi Us Along the Way a Faem.Taxi. Roskatchestvo neodporúča sťahovať takéto aplikácie.

Kontrola, či sú zásady ochrany osobných údajov v aplikáciách na objednávanie taxislužby v súlade so zákonom „O osobných údajoch“ č. 152-FZ z 27.07.2006 vykonali právnici Autonómnej neziskovej organizácie „PravoRobotov. Celkovo si všetky skúmané aplikácie viedli z právneho hľadiska dobre a získali 4 a viac bodov. Výnimkou bol Taxovitchcof, ktorého aplikácia nemala v čase prieskumu odkaz na zásady ochrany osobných údajov. Problém nebol v čase uverejnenia odstránený. Napriek tomu všetky služby okrem Taxoviccof prenášajú údaje prepojeným tretím stranám.

Životné a zdravotné poistenie cestujúcich v osobných taxíkoch je už niekoľko rokov pod zvýšeným drobnohľadom štátnych orgánov aj celej spoločnosti. V rámci výskumu analyzovali Roskatchestvo a právnici z PravoRobotov informácie o poistení v príslušných aplikáciách. Zistilo sa, že len tri z nich Citimobil, Yandex, Yandex.ru, Yandex.ru a iné majú poistenie pre cestujúcich v taxislužbe.Služby „Taxi“ a Gett automaticky poistia cestujúceho počas cesty, pričom poistenie cestujúceho je poskytnuté tretej strane. Iné služby tak či onak prenášajú zodpovednosť za núdzové situácie na plecia vodiča a/alebo cestujúceho a nútia súhlasiť s tým, že dopravca v skutočnosti „neposkytuje dopravné alebo logistické služby“ a neakceptuje nárok vrátane takejto formulácie v službe Uber, ktorú vlastní spoločnosť Yandex .

Stanislav Shvagerus, vedúci kompetenčného centra, Medzinárodné euroázijské fórum pre taxislužbu.

„V Ruskej federácii je poistenie cestujúcich dobrovoľné a v skutočnosti predstavuje konkurenčnú výhodu pre agregátorov na trhu. Dobrovoľný charakter takéhoto poistenia však prináša pre cestujúcich v taxislužbe značné riziká. Ak povinné poistenie jasne definuje postup platby, výška poistného plnenia určená zákonom o poistení, ako aj článkom 34 „zodpovednosť zasielateľa“ federálneho zákona z 8. novembra 2007. N 259-fz „Štatút automobilovej dopravy a mestskej pozemnej elektrickej dopravy“, potom v prípade dobrovoľného poistenia zodpovednosti agregátorov sa tento postup a výška platieb určuje dohodou medzi poisťovateľom a agregátorom. Preto sú sumy skutočného odškodnenia za škody na živote a zdraví cestujúcich v taxislužbe veľmi nízke

Osobitné miesto majú tzv. agregátori „druhej úrovne“, ktorí ešte nemajú poistenú zodpovednosť alebo organizované „fondy odškodnenia“. Takíto agregátori zvyčajne vo svojich interných predpisoch uvádzajú, že „nenesú zodpovednosť za uzatvorenú zmluvu o verejnej taxislužbe a že všetku zodpovednosť voči cestujúcemu nesie vodič taxislužby“. Títo agregátori prehliadajú, že podľa článku 37 „Neplatnosť dohôd“ federálneho zákona z 8. novembra 2007. N 259-FZ „Štatút cestnej dopravy a mestskej pozemnej elektrickej dopravy“, takéto dokumenty sú neplatné.

Judikatúra týkajúca sa náhrady škody na živote a zdraví cestujúcich v taxislužbe je rozsiahla a spočíva v hromadnom uznávaní zodpovednosti prevádzkovateľov taxislužby za škodu spôsobenú cestujúcim osobnej taxislužby na základe zmluvy o prenájme taxislužby. Overte si, či taxislužba, ktorú ste si obľúbili, spĺňa bezpečnostné požiadavky a dodržiava literu zákona?

Štúdia bola vykonaná v súlade s metodikou testovania založenou na predbežnej národnej norme pre porovnávacie testovanie mobilných aplikácií PNST 277-2023.