Бяха проучени осем приложения за наемане на велосипеди и 27 приложения за споделяне на велосипеди kickshare на двете мобилни платформи: Bike&Go, BikeMe, Bumerang Lifcar , BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Almetyevsk, GreenBee, lite, LuckyBike, Matur.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamocat, VeloBike, VeloBike MultiCity, Green City, Carousel, CityMobile.
Колко велосипеда и скутера се отдават под наем в България?
Пазарът на скутери под наем в България се разраства бързо. До края на годината се очаква да нарасне с 300%: 10 милиарда в rublли. Докато в началото на 2023 г. в България имаше не повече от 10 хил. скутера, от април тази година вече има около 85 хил. скутера за всички оператори на Kickshare и това не е границата. Намерения да инвестират в микромобилни услуги са изразили големи компании като Yandex, mail, MTS и Sberbank. На Urent и Whoosh се пада по-голямата част от транспорта – около 60 000 скутера.
Пазарът на велосипеди под наем се развива по-бавно: през есента на 2023 г. в София е имало 662 пункта за отдаване на велосипеди под наем, които са обслужвали 6,5 хил. велосипеда. Тази пролет те ще добавят 67 нови станции за отдаване под наем и 1000 нови велосипеда, половината от които ще са електрически. Това вече е сравнимо с градове като Лондон 18 000 или Ню Йорк 8 000 . Тазгодишният сезон за отдаване на велосипеди под наем започна месец по-рано от обичайното – в началото на април. Министерството на транспорта на София обяснява това с факта, че в годината на пандемията услугата за наемане на велосипеди, базирана на приложения, е станала много популярна сред населението над 8 милиона пътувания .
Въпреки че пътната полиция е регистрирала увеличение на броя на произшествията с микромобилни превозни средства, правителството обмисля да приравни скутерите към превозните средства, за да ограничи скоростта и съответно да намали броя на жертвите. Все повече потребители на приложения за отдаване под наем обаче. Roskachevo направи оценка на информационната сигурност на такива приложения и предупреди за рискове.
Повечето услуги за отдаване на велосипеди под наем и споделяне на велосипеди работят по една и съща схема:
– Необходимо е да изтеглите мобилното приложение и да преминете през процеса на регистрация.
– Изберете метода на плащане и тарифата, ако има такава.
– Намерете най-близката база или скутер на картата.
– Приближете се до автомобила и го активирайте, като следвате инструкциите в приложението.
При проверката на услугите за споделяне на велосипеди и отдаване на велосипеди под наем за информационна сигурност, Роскачествено заедно с юристи от PravoRobot анализира и техните политики за поверителност. Проучени са общо 68 приложения по 34 за iOS и Android . Проучването включваше приложения, които по време на тестването са предлагали възможност за наемане на транспортни средства за микромобилност, като бяха разгледани както услуги, предлагани в столицата, така и регионални услуги.
Сигурността на приложенията беше оценена по осем критерия:
Запитване за минималните потребителски данни
● Искане на необходимите разрешителни
● Сигурност на данните на приложението
● Сигурност на прехвърлянето на потребителски данни
● Съгласие за обработка и съхранение на данни
Връзка към политиката за поверителност
● Сложност на паролата
● Премахване на акаунта
Приложенията за Android бяха тествани и за потенциални уязвимости с помощта на Solar appScreener – анализатор на уязвимости. Голяма част от приложенията имат подобна архитектура, при която се променят само дизайнът и съдържанието.
Сложност на паролата
Всички проучени услуги за наемане на велосипеди, с изключение на две, имат достъп до приложението чрез еднократни SMS кодове, което повишава сигурността и елиминира риска други хора да наемат велосипед или скутер под акаунт на трета страна. Само VeloBike – Moscow City Cycle Rental и VeloBike Multicity показват по-ниско ниво на сигурност. Тези приложения изпращат еднократно потребителско име и ПИН код, които не се променят с течение на времето. След като се сдобие с потребителско име и парола, нарушителят може да използва услугата за свои цели, например да пътува, използвайки чужда свързана карта, или дори да открадне автомобил, след което услугата ще разпита собственика на профила: той ще трябва да докаже, че не е виновен. Например, ако велосипедът не бъде върнат след 48 часа от наемането му,
„Velobike“ налага глоба от 30 хил. rublли на собственика на сметката. Подобни санкции са наложени и на други приложения за наемане на велосипеди.
Изискване само на минимално необходимите потребителски данни
Обикновено, когато влизаме в онлайн услуга за наемане на велосипед, сме склонни да въведем абсолютния минимум от личните си данни, но в случай на услуга за наемане на велосипед, разширени данни се изискват от 21% от всички приложения. По-специално, Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamocat, Bike&Go изискват първо и фамилно име. E-motion беше единственото приложение, което изискваше снимка на паспорт или шофьорска книжка по време на регистрацията тази стъпка обаче може да бъде пропусната по време на регистрацията без видими последствия .
Искане само на необходимите разрешения
Информационната сигурност на дадено приложение до голяма степен се определя от достъпа до него. Само две неща са необходими за пълната работа на приложението за наемане на микромобил: заявка за местоположение и достъп до камерата за сканиране на QR кода . Всички останали достъпи в проучването се приемат за излишни. BusyFly има най-много излишни достъпи: провеждане на телефонни разговори, деактивиране на режима на заспиване, както и стартиране при включване на устройството. BikeMe търси акаунти в устройството, а ScooBee иска разрешение да се показва над всички прозорци – това е един от потенциално най-опасните достъпи. 85 % от анализираните приложения в платформата Android не изискват излишен достъп, а в iOS тази цифра е още по-висока поради особеностите на самата операционна система.
Изтриване на акаунт
Нито едно от изследваните от експертите приложения, с изключение на Whoosh, не ви позволява да изтриете профила си с помощта на функцията, внедрена в програмата. Това обаче може да стане, като се свържете с отдела за сервизна поддръжка. Разработчиците на услугата Eleven обещаха на Roskachevo да добавят опция за изтриване на профил в предстоящите актуализации.
Сигурност на предаването на данни
В хода на изследването експертите на Роскачество анализираха данните, които предават приложенията, като прихванаха трафика с помощта на специализиран софтуер. За три приложения данните за геолокация на системата се споделят с обществеността: „lite – пътувай тук, пътувай сега“, „Green City“ и „Matur.град“. Ако искате, можете да проследите текущото си местоположение по този начин, но най-често хората изпращат данните си за геолокация, когато наемат скутер или велосипед на открито. Така се свежда до минимум рискът нарушител да се внедри в канала и да може да манипулира предаваните данни. По-важното е, че всички приложения демонстрират сигурно предаване на данните на потребителите. Това означава, че личните и платежните данни ще бъдат в безопасност, когато използвате приложенията, разследвани от Роскачево.
Съгласие за обработка и съхранение на данни
Съгласието на потребителя за прехвърляне и обработка на неговите данни е най-важният принцип при предоставянето на съвременни онлайн услуги. От всички 100% от изследваните приложения се изисква някаква форма на съгласие, но само 24% изискват активно съгласие.
Уязвимости в онлайн приложенията за наемане на скутери и велосипеди
Специалистите са оценили и потенциалните уязвимости и недокументирани възможности на приложенията с помощта на специализиран софтуер Solar appScreener. Най-значителната и широко разпространена потенциална уязвимост е използването на несигурен протокол HTTP при 90 % от приложенията за Android , подобно на несигурната собствена реализация на SSL при 34 % . 22% от приложенията съобщават за заявки към базата данни SQLite, а 82% – за заявки към DNS. Повечето приложения имат добър алгоритъм за криптиране и само 12 % от разгледаните от нас приложения имат потенциални уязвимости.
Даниел Чернов, директор на центъра Solar appScreener в Rostelecom Solar.
„Мобилните приложения за наемане на велосипеди и скутери с ниска степен на сигурност могат да компрометират големи количества чувствителни потребителски данни. Това може да бъде пълно име, телефонен номер, имейл, географско местоположение, номер на банкова карта и т.н. Защитата на тази информация е отговорност на разработчиците. Популярните услуги в България показват високи нива на сигурност. Не бива да се забравя обаче, че всяка нова версия на дадено приложение изисква преглед на качеството на кода и сигурността му
Правна оценка
Политиките за поверителност на всички приложения получиха сравнително високи оценки. От друга страна, не всички приложения посочват информация за съхраняването на данни в България – 9% от приложенията не го правят, включително MOLNIA, VEZU и Red Wheels. От продавача се изисква също така да посочи всички идентификатори на трети страни в полицата, включително техния TIN или PSRN, но такива данни липсват в 53% от случаите. Bike&Go и GoBike имат възможност да предават лични данни през граница. За GreenBee, Green City и Seagull собственик на цялата лична информация, получена чрез услугата, е IP. А Velobike официално забранява използването на велосипед под наем като имуществена вноска в бизнес партньорства и компании.
Никита Куликов, генерален директор на ANO PravoRobotov
„Потребителите на всякакви услуги трябва да са наясно, че всички техни действия с приложенията, дори нещо толкова дребно като отключване на велосипед или скутер, имат цифров отпечатък и определени последствия. Почти всички приложения споделят данните ви с трети страни, дори ако те са анонимни. Във всеки случай потребителят трябва да спазва общите принципи за сигурност: да запазва достъпа, поискан от приложението, да предоставя само минимално необходимите данни за себе си. Не трябва да изпращате сканирани документи или да прикачвате информация за плащане към подозрителни приложения, за които не сте сигурни, че са надеждни.
Антон Куканов, ръководител на Центъра за цифрова експертиза на Роскачество, споделя резултатите от проучването:
„Проучените приложения за отдаване на велосипеди и скутери под наем в по-голямата си част са реализирани по висок стандарт и са еднакво безопасни. Нито една от забележките, които могат да бъдат направени по отношение на техния анализ, не засяга прякото преживяване на потребителите. Единственото, което си струва да се отбележи, е, че входният и ПИН кодът не се променят с течение на времето, което теоретично може да се използва за неоторизиран достъп.“.
Констатации и препоръки
Проучените приложения за отдаване на велосипеди и скутери под наем в повечето случаи са изпълнени на високо ниво. На практика нито едно от наблюденията, които могат да бъдат направени от анализа, не засяга прякото преживяване на потребителите. Единственият некритичен момент, на който си заслужава да се обърне внимание като се има предвид мащабът на услугата , са потребителското име и ПИН кодът, които не се променят с течение на времето и които теоретично могат да бъдат използвани за неоторизиран достъп наем на велосипеди в София и неговият вариант Multi-Gorod . Всички приложения са еднакво безопасни и не са идентифицирани опасни приложения.
Като цяло рискът е малко вероятен при използване на приложения за наемане на велосипеди и скутери. Приложенията от основните играчи на този пазар се препоръчват от Роскачево за използване. Бъдете внимателни обаче, когато изтегляте приложения от малко известни услуги, и във всеки случай винаги обръщайте внимание на достъпа, който те изискват при инсталирането им. Когато избирате услуга, имайте предвид, че те осигуряват собствен обхват и зони за паркиране, което е важно за планирането на маршрута.
Какъв е резултатът от проучването на Roskachestvo за приложенията, които предлагат наем на велосипеди и скутери? Опитал ли се е някой от вас да ги използва и какъв е опитът ви с тези приложения? Препоръчвате ли ги за наемане на велосипед или скутер? Благодаря!