Roskatchestvo е идентифицирал опасни приложения за повикване на такси

Центърът за дигитална експертиза на Роскачество проведе проучване на 20-те най-популярни мобилни приложения за поръчка на такси. Предвид факта, че таксиметровите услуги събират и съхраняват нашите лични данни и данни за плащания, те трябва да работят безупречно по отношение на сигурността. Информационната сигурност на повече от 60 малко познати приложения също беше допълнително анализирана. Уви, не всички от тях се оказаха безопасни.

От 2023 г. насам пазарът на таксиметрови услуги непрекъснато расте и се променя бързо, като през 2023 г. няколко услуги, включително Veset и Rutaxi, анализирани преди това от Роскачево, бяха придобити от Yandex, което увеличи общия ѝ дял и я превърна в абсолютен лидер по присъствие 40% като цяло, 67% сред агрегаторите, според Forbes към септември 2023 г. .

За да разберем колко функционални, качествени и безопасни са приложенията за поръчка на такси, Роскачество тества 20 приложения: по 10 за iOS и Android. Юристите на PravoRobotov проучиха политиките за поверителност на услугите, за да се уверят в тяхното съответствие с Федералния закон „За личните данни“ № 152-FZ от 27.07.2006 г. и подчерта отрицателните и положителните аспекти, на които потребителите трябва да обърнат внимание.

Сергей Бодров, ръководител на Центъра за дигитална експертиза на Роскачество.

„По време на проучването експертите използваха приложенията като обикновени потребители: поръчваха таксита и обикаляха града, анализираха работата и функционалността на приложението, добавяха адреси към любими и заявки за поръчки, проучваха профилите на шофьорите информация за шофьорите, автомобилите, фирмата превозвач и работеха по други типични сценарии за използване. Освен това приложенията бяха тествани за сигурност с помощта на специализиран софтуер. В резултат на това бяха тествани всички ключови функции, като бяха оценени удобството, информационната сигурност, както и производителността и надеждността на приложенията за поръчка на таксита

Лидерът при приложенията Yandex Go остава същият, Taxoviccof отстъпва на maxim, Citimobile подобрява позицията си и вече е на трето място и на двете платформи iOS и Android .

Според резултатите от теста най-функционалните приложения са Yandex Go, Taxovychkof на двете платформи и Uber на Android, както и Citimobile на iOS. Yandex Go, Taxovitchkof и maxim за Android и Taxovitchkof и maxim за iOS. Що се отнася до информационната сигурност, всички популярни приложения се представят добре, като повечето от тях получават оценка 3,5 или по-висока. Някои приложения за Android бяха понижени заради наличието на „проследяващи“ устройства на потребителски данни.

Всички участници в проучването са реализирали повечето от функциите на високо ниво. Gett и DiDi обаче не позволяват да повикате такси, без да сте посочили предварително адрес, не всички приложения показват оставащото разстояние между автомобила и потребителя: Go Go, Taxoviccof и maxim нямат тази функция. Версията на DiDi за Android не показва сгради на картата. Само Taxoviccof, Yandex.Go, CityMobile и Uber могат отново да изберат последния адрес на пътуване.

Следващият важен момент за потребителя, след като е направен изборът на автомобил и автомобилът е разпределен, е профилът на водача и автомобила. Специалистите прецениха дали името на водача, снимката и оценката на водача, информацията за автомобила, информацията за фирмата превозвач, данните за датата на регистрация на водача в таксиметровата служба.

Както и в предишното проучване, все още има значителни разлики между приложенията по отношение на степента на съдържание на профила на водача – от фактическата му липса в „Let’s go“, „Omega“ и TapTaxi до пълна информационна карта със снимка в „Yandex Go“, DiDi и Gett.

Следващата важна група критерии за потребителя са желанията за пътуване. Ако потребителят е с малко дете, тежък багаж или животно, наличието на подходящи филтри е много важно. Както показва проучването, липсата на такива филтри в някои приложения все още е проблем. DiDi, Gett, TapTaxi и Uber имат най-малко възможности за заявки за пътуване.

Освен това беше оценено наличието на SOS бутон: той е наличен в Omega, Poholy, Yandex Go и maxim, както и в DiDi и Citimobile. Функцията ви позволява да наберете 112 с едно докосване или да споделите местоположението си с доверени контакти. Тази характеристика може да е от решаващо значение за избора на услуга.

В сравнение с предишни проучвания сега е по-популярно да се включи определен шофьор в черния списък на приложението повечето от тях правят това, като се свържат с поддръжката, но някои от тях позволяват директно блокиране на шофьора . Демонстрацията на потребителски рейтинг подобен на рейтинга на шофьора не беше оценена, само Yandex Go го предлага на пътниците. Citimobile има подобно ниво на потребителски акаунт.

При проверката на приложенията за сигурност проверяващите оцениха дали услугата изисква само минимално необходимите потребителски данни и разрешения, както и дали потребителят може да изтрие акаунта. Сигурността на трансфера на данни за приложенията и данните на потребителите се анализира поотделно. За тази цел експертите улавят целия трафик, изпратен от приложението, с помощта на специализиран софтуер Wireshark и след това го анализират за наличие на некриптирани данни. Всички приложения успешно улавят трафика – не са идентифицирани уязвимости.

Въведен е и нов критерий: наличие на аналитични тракери, които събират информация за потребителя. Те се добавят от разработчиците с добри намерения – за да анализират поведението на потребителите и да използват тази информация за разработване на приложението. Безплатните тракери на големи корпорации например Facebook или Google обаче носят допълнителни рискове по отношение на информационната сигурност: ИТ гигантите получават статистически данни без нуждата от потребителя. Поради тази причина наличието на такива проследяващи устройства беше оценено като минус в проучването. Такива модули не бяха открити в приложенията за iOS, докато приложенията за Android получиха по-ниски резултати по този критерий.

60 % от приложенията са обвързани с банкови карти, използващи протокол 3-D Secure. Това е код, изпратен чрез SMS, който е необходим на услугата, за да провери дали картата наистина ви принадлежи. Теоретично липсата му може да позволи на нападателите да свържат чужда карта със сметката си и впоследствие да извършат плащане с открадната карта или просто като се възползват от нейните данни.

Освен това експертите на Роскачество тестваха всички приложения за Android за уязвимости и NPV с помощта на Solar appScreener, като използваха автоматичен двоичен анализ, без обратен инженеринг декомпилация на изходния код . Установени са следните потенциални уязвимости: адресиране на DNS в 50 % от случаите, несигурно отражение, открито в 30 % от изследваните приложения, несигурно прилагане на native SSL в 20 % от случаите. Слаб алгоритъм за хеширане в 80 % от анализираните приложения; несигурен HTTP протокол – 70 %. Запитване за база данни SQLite – 20%.

Освен 20-те известни приложения, включени в проучването, специалистите провериха и сигурността на още 63 по-малко популярни приложения: съответно 36 за Android и 27 за iOS.

На платформата iOS само данните за геолокацията на потребителя са били прехвърлени открито в момента на поръчката, общо 6 приложения са били хванати на нея, включително NonStop: услуга за поръчка на такси; Taxi Pobeda; DA TAXI Тюмен и Taxi Variant. При Android ситуацията изглежда по-зле – например, специалистите откриха 2 приложения – „SV-TAXI. Taxi Call“ и „UpTaxi всички градове „, които в допълнение към гореспоменатите данни за геолокация предават в публичното пространство личните данни на потребителя. Телефонният номер в единия случай и данните за достъп телефонен номер и парола , както и моделът на устройството във втория случай. Тази уязвимост, освен че директно компрометира данните, може да доведе до нови атаки от страна на измамници срещу потребителите.

Установено е също, че три приложения за Android предават некриптирани данни за геолокацията на потребителя, а именно „Поръчай такси GOST“, „Моят град“ и Taxi Saturn+. Както и в случая с iOS, тази уязвимост, макар и да не е критична, все пак е нежелателна от гледна точка на цифровата сигурност.

Особен проблем при платформата Android е прекомерният или скритият достъп до приложения, който дава на приложенията скрити функции, а в някои случаи те дори могат да бъдат злонамерени. Например 17 от 36-те приложения за Android получават достъп до данни за състоянието на телефона, 8 от 36-те приложения получават достъп до преглед на контакти, а 6 от 36-те приложения получават достъп до провеждане на телефонни разговори.

Сред приложенията, в които са били поискани всички горепосочени излишни достъпи, може да се спомене „SV-TAXI. Извикване на такси, Taxi Nam Puti и Faem.Такси. Roskatchestvo не препоръчва изтеглянето на такива приложения.

Проверка на съответствието на политиката за поверителност на приложенията за таксиметрови поръчки със Закона за личните данни № 152-FZ от 27.12.2011 г. .07.2006 г. е извършена от юристи на „Право Роботов“, автономна организация с нестопанска цел. Като цяло всички проучени приложения постигнаха добри резултати по отношение на правото, като получиха 4 или повече точки. Изключение прави Taxovychkof, чието приложение нямаше валидна връзка към политиката за поверителност по време на проучването. Към момента на публикуване на проучването проблемът не е бил отстранен. Въпреки това всички услуги, с изключение на Taxovitchkof, предават данни на свързани трети страни.

От няколко години насам застрахователното покритие за живот и здраве на пътниците в пътническите таксита е обект на засилен контрол както от страна на държавните органи, така и от страна на обществото като цяло. В рамките на проучването Роскачество и юристи от PravoRobotov анализираха информацията за застраховането в съответните приложения. Само три от тях „Citimobile“, „Yandex.Услугата „Такси“ и Gett автоматично застрахова пътника по време на пътуването, като застраховката на пътника се предоставя на трета страна. Другите услуги по един или друг начин прехвърлят отговорността за извънредни ситуации върху раменете на шофьора и/или пътника и ги принуждават да приемат, че всъщност превозвачът „не предоставя транспортни или логистични услуги“ и не приема рекламации включително такава формулировка от услугата Uber, собственост на Yandex .

Станислав Швагерус, ръководител на Центъра за компетентност, Международен евразийски таксиметров форум.

„В Руската федерация практиката на застраховане на пътниците е доброволна и всъщност е конкурентно предимство на агрегатора на пазара. Доброволният характер на тази застраховка обаче крие значителни рискове за пътниците в такситата. Докато задължителната застраховка ясно определя процедурата на плащане, размерът на застрахователното плащане се определя както от застрахователното законодателство, така и от член 34 „Отговорност на чартьора“ от Федералния закон от 8 ноември 2007 г. N 259-ФЗ „Регулиране на автомобилния транспорт и градския наземен електрически транспорт“, то в случай на доброволно застраховане на отговорността на агрегатите този ред и размерът на плащанията се определят от споразумението между застрахователя и агрегата. Оттук произтичат и много малките размери на реалните обезщетения за вреди, нанесени на живота и здравето на пътниците“

Специален случай имат така наречените агрегати от „втория ешелон“, които все още не са застраховали своята отговорност или не са организирали „фондове за обезщетение“. Такива агрегатори обикновено посочват във вътрешните си правила, че „не носят отговорност за сключените от тях договори за обществени таксиметрови услуги и че цялата отговорност към пътника се носи от таксиметровия шофьор“. Това, което тези агрегатори пропускат, е, че съгласно член 37 „Недействителност на споразуменията“ от Федералния закон от 8 ноември 2007 г. N 259-FZ „Статут на автомобилния транспорт и градския наземен електрически транспорт“, тези документи са невалидни.

Съдебната практика в областта на обезщетенията за вреди, причинени на живота и здравето на пътници в таксиметрови автомобили, е широка и се състои в масово признаване на отговорността на таксиметровите превозвачи за вреди, причинени на пътници в таксиметрови автомобили по договори за наем на леки автомобили. Разберете дали любимата ви таксиметрова услуга отговаря на стандартите за безопасност и спазва закона?

Изследването е проведено в съответствие с методологията за изпитване, базирана на временния национален стандарт за сравнително изпитване на мобилни приложения PNST 277-2023.