Roskatchestvo е направил оценка на приложенията за поръчка на таксита и е идентифицирал несигурни такива

Центърът за дигитална експертиза на Роскачество проведе проучване на най-популярните мобилни приложения за поръчка на таксита. Експертите установиха кои услуги са най-безопасни и функционални, поради което се препоръчват за използване, и кои е по-добре изобщо да бъдат премахнати от смартфона ви.

Според проучване на FOM от декември 2023 г. общо 66% от руснаците са използвали таксиметрови услуги през последната година в големите градове този процент достига 73% . 4% от руснаците са ползвали такси почти всеки ден през последната година, 10% – няколко пъти седмично, 22% – няколко пъти месечно, 29% – няколко пъти годишно. По-голямата част от жителите на България 69% вече са свикнали с услугата и я смятат за безопасна. Наистина ли е толкова? Roskatchestvo последно разгледа мобилните приложения за поръчка на таксита през декември 2023 г. По това време експертите на Roskatchestvo имаха много въпроси относно сигурността на мобилните приложения.

За да разберем колко функционални, качествени и безопасни са приложенията за таксита, Роскачево тества 22 приложения – по 11 за iOS и Android. Освен това експертите анализираха непопулярни приложения за поръчка на такси извън основните класации за сигурност. Сред повече от 100 приложения, изследвани по този начин, открихме несигурни такива.

Първата петица тази година не се е променила много: Taxovichkof, който заемаше едва 7-о място в последното проучване, влезе в нея, а сребърният медалист от 2023 г. Uber, напротив, отпадна от лидерите. Също така понижи рейтинга на Gett до 5-та позиция и на двете платформи. Приложенията Yandex Go, Taxovichkof и Citimobile за Android са смятани за най-добри, а Yandex Go, maxim и Taxovichkof за iOS.

По време на изследването експертите на Роскантроп използваха приложенията като обикновени потребители: поръчваха и пътуваха с такси, анализираха работата на приложението и неговата функционалност, добавяха адреси към любими и желания за поръчки, проучваха профилите на шофьорите информация за шофьорите, автомобилите, фирмата превозвач и т.н. Беше извършен и допълнителен тест за сигурност на приложенията с помощта на специализиран софтуер. Тестовете бяха извършени по 139 критерия, като бяха проверени всички ключови функции, оценено бе удобството, информационната сигурност, производителността и надеждността на приложенията за поръчка на такси.

При оценяването на приложенията са взети предвид резултатите от дълбочинните интервюта с потребители на таксита, проведени от Роскантроп, и семантичния анализ на повече от 900 отзива в App Store и Google Play Market.

Функционалност

Една от най-важните потребителски характеристики на всяко мобилно приложение е функционалността. Експертите са тествали картите на шофьорите и автомобилите, функцията за поръчка на автомобил, възможността да се оставят желания за пътуването деца, багаж, домашни любимци и др. , да се преглежда историята му, функционалността на настройките и т.н.

Слабости, изтъкнати от експертите: DiDi не показва сгради на картата това е поправено във версията, пусната след приключване на проучването , а Rutaxi показва местоположението на потребителя. Gett, DiDi и Bolt не ви позволяват да поръчате автомобил за друг човек. Didi и Bolt също така не позволяват да посочите пътя при поръчка. Gett – единственото такси без възможност за задаване на междинни спирки. Gett, Bolt и Uber не позволяват да се поръча втори автомобил. „Let’s go“ и DiDi не ви позволяват да преглеждате последните адреси. Аутсайдерите в оценката на картите са Veset и Rutaxi, които по същество нямат карта на водача, а само информация за превозното средство. Снимка и оценка на шофьора са налични в по-малко от половината приложения.

DiDi не разполага с функция за оставяне на желания за поръчката. опцията да помолите шофьора за помощ при качване е налична само в Maxim, Pohodlya и TaxiCof – това е особено важно за по-слабо подвижните пътници. Заслужава да се отбележи също така, че половината от услугите не отчитат наличието на багаж или необходимостта от място за багаж.

По време на самото пътуване бяха оценени различни функционалности, които улесняват живота на пътниците. Ако комуникацията с шофьора преди качване и уведомяването за пристигането на автомобила се изпълняват като основни функции на всички приложения, то уведомяването на шофьора на пътника за неговото заминаване изглежда по-рядко само 45% от приложенията го имат . Важно за безопасността на пътниците е, че възможността за споделяне на връзката за пътуване с трети страни е налична в почти всички приложения – с изключение на Citimobile, Gett и Rutaxi.

По-малко от половината от приложенията позволяват промяна на метода на плащане по време на пътуването, а при останалите това може да стане само до момента на поръчката. Най-рядко срещаната функция в групата е бутонът SOS: имат го само Yandex Go, DiDi и Bolt. Тази функция ви позволява да наберете 112 с едно докосване или да споделите местоположението си с доверени контакти. Всички услуги с изключение на „Rutaxi“ и „Taxovichkof“ позволяват промяна на маршрута след началото на пътуването.

Приложенията за поръчка на таксита бяха оценени по отношение на наличието на всички методи за плащане в брой, по банков път, чрез Google/Apple Pay , както и на удобството на безкасовото плащане свързване на няколко карти, автоматично попълване на данните чрез сканиране на картата и възможността за определяне на бакшиша преди и след пътуването и двата метода са налични в 45% от приложенията . По-малко от половината приложения поддържат безкасово плащане с помощта на услуги на трети страни, а същият брой позволяват сканиране на картата.

Отделно от другите функции беше оценена възможността за добавяне на определен шофьор в черния списък само DiDi за Android, iOS – Yandex Go, Gett и Uber . Демонстрацията на потребителския рейтинг подобно на рейтинга на водача не е оценена, пътникът може да я види само в Yandex Go.

Според резултатите от тестовете най-функционалните приложения за Android – „Yandex Go“, „Taxovitchkof“ и „Let’s go“. В iOS – Yandex Go, Taxovitchkof и Gett

В допълнение към функционалността експертите тестваха използваемостта на приложенията. Експертите проведоха тестове за ползваемост на приложенията с повече от 180 обикновени потребители. По време на проучването на потребителите бяха поставени тестови задачи, като например да намерят в интерфейса възможност да оставят коментари за пътуването или да променят начина на плащане, а действията им бяха анализирани. Това ни позволи да оценим яснотата и използваемостта на интерфейса на приложенията. Приложенията на Uber и Yandex бяха най-удобни за взаимодействие с потребителите.Отиди“.

Помощта в приложението е напълно реализирана само в Yandex.Отидете“ и Uber чат или формуляр за обратна връзка, помощ за използване на услугата, опция за обаждане за поддръжка .

Адаптация за хора с увреждания поддръжка на динамични шрифтове и екранни четци VoiceOver Talkback е напълно налична само в „Taxovychkof“ на Android. Приложенията за iOS като цяло традиционно получават по-лоши резултати по този критерий поради техническите характеристики на платформата, като само Citimobile получи 4 точки.

Всички анализирани приложения нямат интегрирани рекламни материали, с изключение на Taxovychkof, който има интегрирана рекламна интеграция на услуга за доставка на храна.

Защита

Значително значение за услугите за поръчка на такси има сигурността на информацията, тъй като потребителят посочва в приложението данните си за плащане, а в някои случаи и личните данни. По време на проучването оценихме дали услугата изисква само минимално необходимите данни и разрешения от потребителите. Сигурността на предаването на данни за приложенията и данните на потребителите е анализирана поотделно.

За да проверят сигурността на предаването на данни, експертите заснемат целия трафик, изпратен от приложението, с помощта на специализиран софтуер Wireshark и след това го анализират за некриптирани данни. Всички приложения, с изключение на версиите за Android на DiDi и Veset, успяха да прихванат трафика: Didi предава в некриптиран вид снимките съдържанието на приложението, докато Veset предава координатите на потребителя и адреса на дестинацията, което е много по-сериозно.

Прихващайки тези данни, измамникът може да проследи пътя до адреса на жертвата и да използва тази информация за целенасочени атаки. Всички приложения с изключение на DiDi, Bolt и Uber имат възможност за свързване на банкови карти чрез 3-D Secure.

Тази година всички приложения бяха оценени като сигурни и безопасни, като 73% от услугите за iOS и Android получиха оценка 4 или по-висока. DiDi и Bolt на двете платформи бяха понижени заради прекомерни заявки за данни по време на регистрацията.

Освен това експертите на Roskatchestvo тестваха всички приложения за Android с помощта на Solar appScreener за уязвимости, като използваха технология за автоматичен двоичен анализ, без обратен инженеринг декомпилация на изходния код .

В резултат на това бяха открити следните потенциални уязвимости: несигурна реализация на SSL в 54 %, несигурно отражение в 81 %, използване на несигурен HTTP в 90 %, слаб алгоритъм за хеширане в 72 %, слаб алгоритъм за криптиране в 9 %, инжектиране на заявка за база данни SQLite в 18 %, адресиране на DNS в 90 %.

В допълнение към 22-те добре познати приложения в проучването, експертите са тествали и сигурността на около сто други, далеч по-малко популярни приложения 65% от тях са за Android .

В някои от приложенията, проверени отделно от Роскачев, бяха открити пропуски, които биха могли да имат неприятни последици за потребителите. Установено е, че поне 5 приложения предават незащитени координати на пътниците, като в някои случаи добавят телефонен номер и модел или дори лични данни на потребителя. Съществува риск киберпрестъпниците да получат тези данни, които по-късно могат да бъдат използвани срещу жертвата“, каза Антон Куканов, ръководител на Центъра за дигитална експертиза на Роскачево.

Некриптираният телефонен номер за „Taxi Saturn“, RED TAXI, UpTaxi, „Taxi Order GOST“ е потенциална уязвимост, тъй като нарушителят може да получи достъп до него чрез прихващане на данните. Конкретният модел на телефона също е чувствителен, тъй като всеки модел телефон има различни уязвимости, които могат да бъдат използвани от нападателите, ако те са специално насочени към жертвата. Това важи с особена сила за по-старите модели смартфони.

Личните данни за Taxi Saturn са комбинация от телефонен номер и име, което е много чувствителна информация. Координати X-Scar в най-лошия случай -TAXI -SV и UpTaxi, Taxi, NonStop, нарушителят може да получи координатите на дестинацията, но най-често се предават координатите на реалното местоположение. Всички тези уязвимости могат да бъдат входна точка в периметъра на сигурността на приложението. Поради това не се препоръчва използването на Fi напр. -apps, ако телефонът ви е свързан с обществен Wi и използвате мобилен интернет за тази цел. -в ресторант или хотел

Политика за поверителност

Проверка на съответствието на политиките за поверителност на приложенията за поръчка на таксита със закона „За личните данни“ № 152-FZ от 27.07.2006 г. е проведено от юристи на Автономната организация с нестопанска цел „Право Роботов“. В това проучване съответната група от 17 тестови параметри представлява 10 % от крайната оценка на приложенията.

Адвокатите прегледаха политиките за съответствие с руското законодателство и провериха приложенията по важни за потребителите критерии, като например условията за прекратяване на обработката на лични данни, кой отговаря за събирането им, страните, на които се предават, както и наличието на речник и локализация на Български език в документацията за потребителите на услугите. Проверена е и информацията за застраховката на пътниците само в самото приложение тя е изцяло налична, а за останалите се отваря в браузъра .

Политиката за обслужване на Bolt съдържа позоваване на предаването на данни на трети страни, в допълнение към изискванията, установени от закона и свързаните лица, като списъкът на третите страни не е даден. А в политиката на Uber липсва информация за обработваните лични данни. Заслужава да се отбележи и автоматичното съгласие на потребителите за получаване на реклами напр. в Maxim и Taxoviccof .

Gett дори събира информация за производителността на батерията и мрежата например състояние на батерията и използване на зарядното устройство , както и за имената на файловете, типовете файлове и размерите им на вашето устройство, включително количеството свободно и използвано пространство на вашето локално устройство за съхранение.

Политиките за поверителност на всички услуги, с изключение на Taxovitchcof, посочват, че потребителските данни могат да бъдат предадени на трети страни. Обикновено това обхваща събирането на данни за използването на приложенията от потребителите.

Никита Куликов, за.т.н., Главен изпълнителен директор на ANO PravoRobotov

„Проучването установи, че в допълнение към преките си задължения за осигуряване на транспорт на гражданите, редица служби събират прекомерно количество данни, които не са пряко свързани с дейностите по поръчване на таксита. Някои услуги също така споделят данните ви с трети страни, включително чуждестранни. Ето защо е важно всеки потребител да помни, че дори в най-неочевидните ситуации поверителността на личните му данни може да бъде изложена на риск.“.

Отрицателните и положителните аспекти на политиките за поверителност, за които адвокатите ви препоръчват да внимавате, са изброени във всяка от картите за кандидатстване. Изследването е проведено в съответствие с методология за изпитване, основана на временния национален стандарт за сравнително изпитване на мобилни приложения PNST 277-2023