Roskatchestvo dezvăluie aplicațiile nesigure de apelare a taxiurilor

Centrul de expertiză digitală al Roskatchestvo a realizat un sondaj cu privire la cele mai populare 20 de aplicații mobile de comandă a taxiurilor. Având în vedere că serviciile de taxi colectează și stochează datele noastre personale și de plată, acestea trebuie să funcționeze perfect din punct de vedere al securității. În plus, a fost analizată securitatea informatică a peste 60 de aplicații puțin cunoscute. Din păcate, nu toate s-au dovedit a fi sigure.

Din 2023, piața de taxi a crescut continuu și s-a schimbat rapid, în 2023 mai multe servicii, inclusiv Veset și Rutaxi, analizate anterior de Roskachevo, au fost achiziționate de Yandex, mărindu-și cota globală și făcându-l lider absolut în funcție de prezență 40% la nivel global, 67% în rândul agregatorilor, potrivit Forbes, în septembrie 2023 .

Pentru a afla cât de funcționale, calitative și sigure sunt aplicațiile de comandă de taxi, Roskachestvo a testat 20 de aplicații: câte 10 pentru iOS și Android. Și avocații de la ANO PravoRobotov au examinat politicile de confidențialitate ale serviciilor pentru conformitatea cu Legea federală „Cu privire la datele cu caracter personal” nr. 152-FZ din 27.07.2006 și a evidențiat aspectele negative și pozitive la care utilizatorii ar trebui să acorde atenție.

Serghei Bodrov, șeful Centrului de expertiză digitală al Roskatchestvo.

„În timpul studiului, experții au folosit aplicațiile ca utilizatori obișnuiți: au comandat un taxi și au condus prin oraș, au analizat performanța și funcționalitatea aplicației, au adăugat adrese la favorite și dorințe pentru comenzi, au studiat profilurile șoferilor informații despre șoferi, mașini, compania de transport și au elaborat alte scenarii tipice de utilizare. În plus, testarea securității aplicațiilor a fost realizată cu ajutorul unor softuri specializate. Ca urmare, au fost testate toate funcțiile cheie și au fost evaluate capacitatea de utilizare, securitatea informațiilor, precum și performanța și fiabilitatea aplicațiilor de comandă de taxi”

Conform rezultatelor sondajului, aplicația lider rămâne aceeași Yandex Go , Taxoviccof a pierdut teren, în timp ce Citimobile și-a îmbunătățit poziția și se află acum pe locul trei pe ambele platforme iOS și Android .

Conform rezultatelor testului, cele mai funcționale aplicații sunt „Yandex Go”, „Taxovichkof” pe ambele platforme și Uber pe Android, precum și „Citimobile” pe iOS. Cele mai convenabile aplicații în conformitate cu rezultatele cercetării – „Yandex Go”, „Taxovitchkof” și maxim pe Android, precum și „Taxovitchkof” și maxim pe iOS. În ceea ce privește securitatea informațiilor, toate aplicațiile populare au avut performanțe bune, majoritatea obținând note de 3,5 sau mai mult. Unele aplicații Android au fost retrogradate pentru că aveau „urmăritori” de date ale utilizatorilor.

Majoritatea caracteristicilor sunt implementate la un nivel ridicat pentru toți participanții la sondaj. Cu toate acestea, Gett și DiDi nu permit apelarea unui taxi fără o adresă, nu toate aplicațiile arată distanța de la mașină până la utilizator: funcția este absentă în Pohodlya, Taxovichkof și maxim. Versiunea Android a DiDi nu afișează clădirile pe hartă. Doar Taxoviccof, Yandex.Go”, „Citymobile” și Uber pot selecta din nou o adresă de călătorie recentă.

Următorul lucru important pentru utilizator, odată ce a fost făcută alegerea mașinii și a fost atribuit vehiculul, este profilul șoferului și al vehiculului. Experții au estimat numele șoferului, fotografia și ratingul acestuia, informații despre mașină, informații despre compania de transport, data înregistrării șoferului într-un serviciu de taxi.

Ca și în ultimul sondaj, există încă o variație semnificativă între aplicații în ceea ce privește cât de complet este profilul șoferului, de la absența virtuală a unui profil al șoferului în Pohodlya, Omega și TapTaxi, la o fișă completă, informativă și cu fotografie în Yandex Go, DiDi și Gett.

Următorul grup important de criterii pentru utilizator este reprezentat de dorințele de călătorie. În cazul în care utilizatorul are un copil mic, un bagaj greu sau un animal de companie, prezența unor filtre adecvate este esențială. După cum arată studiul, problema lipsei unor astfel de filtre în anumite aplicații este încă relevantă. DiDi, Gett, TapTaxi și Uber au cele mai puține opțiuni pentru solicitări de curse.

În plus, a fost evaluată prezența unui buton SOS: Omega, Let’s Go, Yandex Go și maxim, precum și DiDi și Citimobile. Această funcție vă permite să formați numărul 112 cu o singură atingere sau să partajați locația dvs. cu persoane de încredere. Această caracteristică ar putea fi factorul decisiv pentru unele persoane atunci când aleg un serviciu.

Comparativ cu ultimul studiu, opțiunea de a pune pe lista neagră a unui anumit șofer în aplicație a devenit vizibil mai populară majoritatea au această opțiune implementată printr-o cerere de asistență, dar există și cei care oferă opțiunea de a bloca șoferul direct . Afișarea unui rating de utilizator similar ratingului unui șofer a fost considerată nevalorificată, doar Yandex Go o are deschisă pentru pasager. Citimobile are un nivel de cont de utilizator la fel de semnificativ.

În cadrul unui studiu de securitate a aplicațiilor, experții au evaluat dacă serviciul solicită doar datele și permisiunile minime necesare ale utilizatorului și dacă acesta poate șterge contul. Securitatea transferului de date al aplicației și a datelor utilizatorilor a fost analizată separat. În acest scop, experții au capturat tot traficul, trimis de aplicație, cu ajutorul unui software specializat Wireshark , și apoi l-au analizat pentru a detecta prezența datelor necriptate. Toate aplicațiile au gestionat cu succes interceptarea traficului – nu au fost identificate vulnerabilități.

De asemenea, a fost introdus un nou criteriu: prezența unor urmăritori analitici care colectează informații despre utilizator. Acestea sunt adăugate de către dezvoltatori cu intenții bune – pentru a analiza comportamentul utilizatorilor și pentru a utiliza aceste informații pentru a dezvolta aplicația. Cu toate acestea, trackerii gratuiți de la marile corporații cum ar fi Facebook sau Google prezintă riscuri suplimentare de securitate: giganții IT primesc date statistice fără ca utilizatorul să aibă nevoie de ele. Din acest motiv, prezența unor astfel de dispozitive de urmărire a fost considerată un dezavantaj în cadrul studiului. Nu au fost găsite astfel de module în aplicațiile iOS, în timp ce pe Android scorurile pentru acest criteriu au fost scăzute pentru maxim.

60% dintre aplicații au o legătură cu cardul bancar care utilizează protocolul 3-D Secure. Acest cod, trimis prin SMS, este necesar pentru ca serviciul să verifice dacă cardul vă aparține cu adevărat. Teoretic, absența acestuia ar putea permite atacatorilor să lege cardul altcuiva de contul lor și, ulterior, să efectueze plăți de pe un card furat sau pur și simplu prin preluarea detaliilor acestuia.

În plus, experții Roskatchestvo au testat toate aplicațiile Android pentru vulnerabilități și VAS „Solar appScreener” folosind tehnologia automată de analiză binară, fără inginerie inversă descompilarea codului sursă . Au fost identificate următoarele vulnerabilități potențiale: accesarea DNS în 50% din cazuri, reflexie nesigură în 30% din aplicațiile analizate, implementare SSL nativă nesigură în 20%. Algoritm de hashing slab în 80% din aplicațiile analizate, utilizând un protocol HTTP nesigur în 70% dintre acestea. Integrarea SQLite în interogările bazelor de date – 20%.

Pe lângă cele 20 de aplicații bine cunoscute incluse în studiu, experții au verificat, de asemenea, securitatea altor 63 de aplicații mai puțin populare: 36 pe Android și, respectiv, 27 pe iOS.

Doar datele de geolocalizare ale utilizatorului au fost transmise în mod deschis pe platforma iOS, fiind implicate 6 aplicații, inclusiv NonStop: serviciu de comandă de taxi; Taxi Pobeda; DA TAXI Tyumen și Taxi Variant. Situația arată mai rău pe platforma Android – de exemplu, specialiștii au identificat 2 aplicații – „SV-TAXI. Call Taxi” și „UpTaxi toate orașele „, care, în afară de datele de geolocalizare menționate mai sus, au transmis în acces liber și datele personale ale utilizatorului. numărul de telefon într-un caz, iar în cel de-al doilea caz, datele de identificare numărul de telefon și parola și, respectiv, modelul dispozitivului. Această vulnerabilitate, pe lângă compromiterea directă a datelor, ar putea duce la noi atacuri din partea escrocilor împotriva utilizatorilor.

De asemenea, au descoperit 3 aplicații Android care transmiteau date necriptate de geolocalizare a utilizatorului, și anume „Order GOST Taxi”, „My City” și Taxi Saturn+”. Ca și în cazul iOS, această vulnerabilitate, deși nu este critică, este totuși nedorită din punct de vedere al securității digitale.

O problemă aparte pe platforma Android este accesul redundant sau ascuns la aplicații, care oferă aplicațiilor funcții ascunse și, în unele cazuri, acestea pot fi chiar rău intenționate. Astfel, 17 din 36 de aplicații Android au acces la obținerea de date despre starea telefonului, 8 din 36 de aplicații au acces la vizualizarea contactelor, iar 6 din 36 de aplicații au acces la efectuarea de apeluri telefonice.

Printre aplicațiile în care au fost solicitate toate accesele redundante enumerate se numără „SV-TAXI. Taxi Call, Taxi Nam Puti și Faem.Taxi. Roskatchestvo nu recomandă descărcarea unor astfel de aplicații.

Verificarea faptului dacă politica de confidențialitate a aplicațiilor de comandă de taxi respectă legea „Cu privire la datele cu caracter personal” № 152-FZ din 27.07.2006 a fost realizată de avocații de la PravoRobotov, o organizație autonomă non-profit. În general, toate aplicațiile analizate au avut rezultate bune în ceea ce privește legea, obținând note de 4 sau mai mari. Excepție a făcut Taxovychkof, a cărui aplicație nu avea un link către politica sa de confidențialitate la momentul realizării sondajului. La momentul publicării studiului, problema nu fusese corectată. Cu toate acestea, toate serviciile, cu excepția Taxoviccof, împărtășesc date cu terțe părți afiliate.

Problemele legate de asigurarea de viață și de sănătate pentru pasagerii taxiurilor de pasageri sunt de mai mulți ani în atenția constantă atât a autorităților publice, cât și a societății în general. În cadrul sondajului, Roskatchestvo și avocații de la PravoRobotov au analizat informațiile de asigurare din aplicațiile respective. Doar trei dintre acestea Citimobile, Yandex și Kvadrat aveau o politică de confidențialitate în aplicația lor.Taxi” și Gett , serviciul asigură automat pasagerul în timpul călătoriei, asigurarea pasagerilor fiind externalizată către o terță parte. Alte servicii, într-un fel sau altul, transferă responsabilitatea pentru situații de urgență pe umerii șoferului și/sau pasagerului și îi obligă să accepte faptul că transportatorul „nu furnizează servicii de transport sau logistică” și nu acceptă reclamații Uber, deținut de Yandex, are și el o astfel de formulare .

Stanislav Shvagerus, șeful Centrului de Competențe, Forumul Internațional Eurasiatic al Taxiurilor.

„În Federația Românesc, practicarea asigurării pasagerilor este voluntară și este, de fapt, un avantaj competitiv al agregatorului pe piață. Cu toate acestea, caracterul voluntar al unei astfel de asigurări implică riscuri semnificative pentru pasagerii de taxi. Întrucât asigurarea obligatorie definește în mod clar procedura de plată, valoarea plății de asigurare determinată atât de legea asigurărilor, cât și de articolul 34 „răspunderea navlositorului”, Legea federală din 8 noiembrie 2007. N 259-fz „Statutul transportului auto și al transportului electric terestru urban”, atunci, în cazul asigurării voluntare a răspunderii agregatorului, această procedură și sumele de plată sunt stabilite printr-un acord între asigurător și agregator. De aici și sumele extrem de mici ale despăgubirilor efective pentru daunele aduse vieții și sănătății pasagerilor din taxiurile de pasageri”

Un loc aparte îl ocupă așa-numitele agregatoare din „eșalonul al doilea”, care nu și-au asigurat încă răspunderea sau nu au organizat „fonduri de plată”. Astfel de agregatori indică, de obicei, în regulamentele lor interne că „nu sunt responsabili pentru contractul public de servicii de transport de pasageri în regim de taxi pe care îl semnează și că întreaga responsabilitate față de pasager este asumată de șoferul de taxi”. Ceea ce acești agregatori trec cu vederea este că, în conformitate cu articolul 37 din „nulitatea acordurilor” din Legea federală din 8 noiembrie 2007. N 259-fz „Statutul transportului auto și al transportului electric terestru urban”, astfel de documente nu sunt valabile.

Practica judiciară privind compensarea prejudiciilor cauzate vieții și sănătății pasagerilor de taxi este vastă și constă în acceptarea în masă a răspunderii agregatorilor de taxi pentru prejudiciile cauzate pasagerilor taxiurilor de pasageri în baza unui contract de transport de taxi. Verificați dacă serviciul de taxi preferat îndeplinește standardele de siguranță și respectă legea?

Studiul a fost realizat în conformitate cu o metodologie de testare bazată pe standardul național provizoriu pentru benchmarking-ul aplicațiilor mobile PNST 277-2023.