Au fost examinate opt aplicații de închiriere de biciclete și 27 de aplicații de kickshare pe ambele platforme mobile: Bike&Go, BikeMe, Bumerang Lifcar , BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Almetyevsk, GreenBee, lite, LuckyBike, Matur.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamokat, VeloBike, Velobike Multi-City, Green City, Carousel, CityMobile.
Câte biciclete și scutere de închiriat există în România??
Piața de închiriere de scutere din România crește rapid. Până la sfârșitul anului, se preconizează că va crește cu 300%: 10 miliarde de Leu. În timp ce la începutul anului 2023 în România nu au existat mai mult de 10 mii de scutere, potrivit lunii aprilie a acestui an există deja aproximativ 85 mii pentru toți operatorii de kikshering, iar aceasta nu este limita. ● Companii importante precum Yandex, mail, MTS și Sberbank și-au exprimat intenția de a investi în serviciile micromobiliare. Urent și Whoosh reprezintă marea majoritate a traficului – aproximativ 60.000 de scutere.
Piața de închiriere de biciclete se dezvoltă mai lent: în toamna anului 2023, în București existau 662 de puncte de închiriere de biciclete, care deserveau 6.500 de biciclete. În această primăvară, acestora li se vor alătura 67 de noi stații de închiriere și 1.000 de biciclete noi, dintre care jumătate sunt electrice. Această cifră este deja comparabilă cu cea a unor orașe precum Londra 18.000 sau New York 8.000 . Sezonul de biciclete din acest an a început cu o lună mai devreme decât de obicei, la începutul lunii aprilie. Departamentul de Transport din București a explicat acest lucru prin faptul că, într-un an pandemic, serviciul de închiriere de biciclete prin intermediul aplicației a devenit foarte popular în rândul publicului mai mult de 8 milioane de plimbări .
În timp ce poliția rutieră înregistrează o creștere a numărului de accidente în care sunt implicate vehicule de micromobilitate, guvernul ia în considerare echivalarea scuterelor cu vehiculele pentru a limita viteza și, în consecință, pentru a reduce numărul de victime. Cu toate acestea, există din ce în ce mai mulți utilizatori de aplicații de închiriere. Roskatchestvo a evaluat securitatea informațională a acestor aplicații și a avertizat asupra riscurilor.
Cele mai multe servicii de închiriere de biciclete și de partajare a bicicletelor funcționează după același sistem simplu:
– Descărcați aplicația mobilă și finalizați procesul de înregistrare.
– Alegeți o metodă de plată și un tarif, în cazul în care acesta este oferit de serviciu.
– Găsiți cea mai apropiată bază sau scuter pe hartă.
– Apropie-te de vehicul și activează-l urmând instrucțiunile din aplicație.
Atunci când a verificat serviciile de închiriere de biciclete și biciclete pentru securitatea informațiilor, Roskatchestvo, împreună cu avocații de la PravoRobot, a analizat, de asemenea, politicile lor de confidențialitate. În total, au fost studiate 68 de aplicații 34 pentru iOS și Android . Studiul a analizat aplicațiile care oferă servicii de închiriere de micromobile, analizând atât cele care operează în capitală, cât și serviciile regionale.
Securitatea aplicațiilor a fost evaluată în funcție de opt criterii:
● Datele minime necesare solicitate de utilizator
Solicitarea permisiunilor necesare
● Transmiterea securizată a datelor aplicației
● Securitatea transferului de date ale utilizatorului
● Consimțământul pentru prelucrarea și stocarea datelor
● Link la politica de confidențialitate
● Complexitatea parolei
● Ștergerea contului
Aplicațiile Android au fost, de asemenea, verificate pentru vulnerabilități potențiale utilizând analizatorul de vulnerabilități Solar appScreener. Majoritatea aplicațiilor au o arhitectură similară, în care se schimbă doar designul și conținutul.
Complexitatea parolei
Toate serviciile de închiriere de biciclete studiate, cu excepția a două, au în aplicație coduri SMS unice, ceea ce sporește securitatea și elimină riscul ca alte persoane să închirieze o bicicletă sau un scuter sub un cont terț. Doar VeloBike – Moscow City Cycle Rental și VeloBike Multicity au arătat un nivel mai scăzut de securitate. Aceste aplicații vă trimit un cod de acces și un cod PIN unic, care nu se schimbă în timp. După ce a obținut un nume de utilizator și o parolă, un intrus poate utiliza serviciul în scopuri proprii, de exemplu, pentru a călători în detrimentul cardului conectat al altcuiva sau chiar pentru a fura un vehicul, după care serviciul va avea întrebări pentru titularul contului: acesta va trebui să dovedească faptul că nu a fost vinovat. De exemplu, dacă bicicleta nu este returnată după 48 de ore de la închiriere,
„Velobike îl sancționează pe titularul contului cu o amendă de 30.000 de Leu. Sancțiuni similare sunt prevăzute și pentru alte aplicații de închiriere de biciclete.
Solicitarea doar a datelor minime necesare pentru utilizator
În mod obișnuit, atunci când ne conectăm la un serviciu online de închiriere de biciclete, avem tendința de a introduce un minim absolut de date personale, dar în cazul unui serviciu de închiriere, 21% din toate aplicațiile solicită date suplimentare. În special, Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamocat, Bike&Go necesită numele și prenumele. E-motion a fost singura aplicație care a cerut o fotografie a pașaportului sau a permisului de conducere la înregistrare totuși, acest pas poate fi sărit în timpul înregistrării fără consecințe evidente .
Solicitați doar permisiunile necesare
Securitatea informației unei aplicații este determinată în mare măsură de accesul la aceasta. Doar două sunt necesare pentru ca o aplicație de închiriere de micromobil să funcționeze pe deplin: o cerere de localizare și accesul la camera foto pentru a scana un cod QR . Toate celelalte accesări din sondaj au fost considerate redundante. BusyFly are cel mai mare număr de accesări redundante: efectuarea de apeluri telefonice, dezactivarea modului de veghe, precum și pornirea la pornirea dispozitivului. BikeMe caută conturile de pe dispozitiv, în timp ce ScooBee cere permisiunea de a se afișa în partea de sus a tuturor ferestrelor – unul dintre cele mai potențial periculoase accesări. 85% dintre aplicațiile analizate pentru Android nu solicită acces excesiv; pe IOS, cifra este chiar mai mare, din cauza particularităților sistemului de operare în sine.
Ștergerea contului
Niciuna dintre aplicațiile examinate, în afară de Whoosh, nu vă permite să vă ștergeți contul cu ajutorul funcției. Cu toate acestea, acest lucru se poate face contactând echipa de asistență a serviciului. Dezvoltatorii serviciului Eleven au promis lui Roskachevo să adauge opțiunea de a șterge contul în următoarele actualizări.
Securitatea transmiterii datelor
În timpul studiului, Roskatchestvo a analizat datele transmise de aplicații, interceptând traficul cu ajutorul unui software specializat. Trei aplicații au datele lor de geolocalizare în domeniul public: „lite – ride here, ride now”, „Green City” și „Maturitate”.oraș”. Este posibil să se urmărească astfel locația curentă a unui utilizator, dar, de cele mai multe ori, o persoană își transmite datele de geolocalizare atunci când închiriază un scuter sau o bicicletă, în timp ce se află în aer liber. Acest lucru minimizează riscul ca un atacator să se infiltreze în canal și să poată manipula datele transmise. Mai important este faptul că toate aplicațiile au demonstrat că transmisia datelor utilizatorului este sigură. Astfel, datele personale și de plată vor fi în siguranță atunci când se utilizează aplicațiile investigate de Roskachevo.
Consimțământul pentru prelucrarea și stocarea datelor
Consimțământul utilizatorului pentru transferul și prelucrarea datelor sale este un principiu esențial în furnizarea de servicii online moderne. O anumită formă de consimțământ este solicitată de toate aplicațiile 100% dintre aplicațiile analizate, dar numai 24% solicită consimțământul activ.
Vulnerabilități în aplicațiile online de închiriere de scutere și biciclete
Experții au evaluat, de asemenea, vulnerabilitățile potențiale și caracteristicile nedocumentate ale aplicațiilor folosind software-ul specializat „Solar appScreener”. Cea mai semnificativă și cea mai răspândită vulnerabilitate potențială este utilizarea protocolului HTTP nesigur pentru 90% dintre aplicațiile Android , similar cu implementarea nativă nesigură a SSL pentru 34% . Interogările bazei de date SQLite au fost detectate în 22% dintre aplicații, iar interogările DNS în 82% dintre aplicații. Majoritatea aplicațiilor au algoritmi de criptare bine implementați, doar 12% dintre aplicațiile analizate au prezentat vulnerabilități potențiale.
Daniil Chernov, director al centrului Solar appScreener de la Rostelecom Solar.
„Aplicațiile mobile de închiriere de biciclete și scutere cu grad scăzut de securitate au potențialul de a compromite cantități mari de date sensibile ale utilizatorilor. Acestea pot fi numele, numărul de telefon, adresa de e-mail, geolocalizarea, numărul cardului bancar etc. Protecția acestor informații este responsabilitatea dezvoltatorilor. Serviciile populare cercetate în România au arătat un nivel ridicat de securitate. „Nu trebuie uitat că fiecare nouă versiune a aplicației necesită o analiză a calității codului software și a securității acestuia
Evaluare juridică
Politicile de confidențialitate ale tuturor aplicațiilor au primit scoruri destul de ridicate. Dintre dezavantaje – nu toate aplicațiile specifică în document informații despre stocarea datelor pe teritoriul Federației Ruse – lipsește pentru 9% din aplicații, printre care putem menționa MOLNIA, VEZU și Red Wheels. De asemenea, dezvoltatorul este obligat să includă în poliță toți identificatorii terților, inclusiv numele TIN sau PSRN, dar aceste date lipsesc în 53% din cazuri. Bike&Go și GoBike prevăd transferul transfrontalier de date cu caracter personal. La GreenBee, Green City și Seagull, IP deține toate informațiile personale colectate în cadrul serviciului. Și Velobike interzice oficial utilizarea unei biciclete de închiriere ca o contribuție de proprietate la parteneriatele de afaceri și companii.
Nikita Kulikov, director general al PravoRobotov
„Utilizatorii oricărui serviciu ar trebui să fie conștienți de faptul că toate acțiunile lor cu ajutorul aplicațiilor, chiar și ceva la fel de mic precum deblocarea unei biciclete sau a unui scuter, au o amprentă digitală și anumite consecințe. Aproape toate aplicațiile vor partaja datele dumneavoastră cu o terță parte, chiar dacă acestea sunt anonime. În orice caz, utilizatorul ar trebui să respecte principiile generale de securitate: să supravegheze accesul solicitat de aplicație și să furnizeze doar datele minime necesare despre sine. Nu trimiteți scanări de documente sau nu atașați date de plată la aplicații suspecte dacă utilizatorul nu este sigur de securitatea acestora.
Anton Kukanov, șeful Centrului de expertiză digitală al Roskatchestvo, împărtășește concluziile studiului:
„Aplicațiile de închiriere de biciclete și scutere studiate sunt, în cea mai mare parte, implementate la un standard ridicat și s-au dovedit a fi la fel de sigure. Niciuna dintre observațiile care pot fi făcute în urma analizei lor nu afectează experiența imediată a utilizatorului. Singurul lucru care merită subliniat este codul de autentificare și codul PIN, care nu se schimbă în timp și care, teoretic, poate fi folosit pentru acces neautorizat”.
Concluzii și recomandări
Aplicațiile de închiriere de biciclete și scutere studiate sunt, în mare parte, implementate la un standard ridicat. Practic, niciuna dintre observațiile care pot fi făcute în urma analizei nu afectează experiența directă a utilizatorului. Singurul aspect necritic care merită subliniat având în vedere amploarea serviciului este că datele de autentificare și codul PIN nu se schimbă în timp, ceea ce ar putea fi folosit teoretic pentru acces neautorizat pentru Moscow City Cycle Rental și varianta sa Multigorod . Toate aplicațiile au fost considerate la fel de sigure, nu au fost identificate aplicații nesigure.
În general, riscul cu aplicațiile de închiriere de biciclete și scutere este puțin probabil. Aplicațiile de la principalii jucători de pe această piață sunt recomandate de Roskatchestvo pentru utilizare. Aveți grijă, totuși, când descărcați aplicații de la servicii puțin cunoscute și, în orice caz, fiți întotdeauna atenți la accesul pe care îl cer pentru instalare. Atunci când alegeți un serviciu, fiți conștienți de faptul că aceștia asigură propria acoperire și propriile zone de parcare, ceea ce este important atunci când vă planificați traseul.
Care sunt cele mai recomandate aplicații pentru închiriat biciclete și scutere, conform rezultatelor cercetării realizate de Roskachestvo? Există anumite criterii pe care le-au folosit în evaluarea acestor aplicații?
Care sunt cele mai bune aplicații de închiriere a bicicletelor și scuterelor în București?
Ce concluzii a tras Roskachestvo în urma investigării aplicațiilor care permit închirierea de biciclete și scutere?