Росквард откривене небезбедне апликације за позивање таксија

Центар за дигиталну експертизу Роскварт је спровео студију о 20 најпопуларнијих мобилних апликација по наруџби таксија. С обзиром на то да такси услуге прикупљају и чувају наше личне податке и податке о плаћању, требало би да покажу беспрекорне резултате на безбедносном критеријуму. Такође је додатно анализирана информациона сигурност више од 60 опскурних апликација. Нажалост, нису се сви показали сигурним.

Од 2023. године тржиште таксија непрекидно расте и брзо се мења, 2023. године неколико услуга одједном, укључујући претходно анализиране Весет и Рутаки, купио је Иандек, што је повећало његов укупни удео и учинило апсолутним лидером у укупном присуству од 40%, 67% међу агрегаторима, према Форбесу од септембра 2023. године .

Да би сазнали колико су апликације за наручивање таксија функционалне, квалитетне и безбедне, попуштање је тестирало 20 апликација: по 10 за иОС и Андроид. Правници АНО „ПравоРоботов“ су проучавали политике приватности услуга у складу са Федералним законом“ о личним подацима “ № 152-ФЗ од 27.07.2006. и истакли негативне и позитивне аспекте на које би корисници требали обратити пажњу.

Сергеј Бодров, шеф Центра за дигиталну експертизу у Роскварту.

„Током студије, стручњаци су користили апликације као обичне кориснике: наручивали таксије и кретали се градом, анализирали рад апликације и њену функционалност, додали адресе у фаворите и жеље за наруџбама, проучавали профиле возача информације о возачима, аутомобилима, компанији за превознике и увежбавали друге типичне случајеве употребе. Поред тога, спроведен је тест безбедносних апликација помоћу специјализованог софтвера. Као резултат тога, све кључне карактеристике су проверене, процењена је погодност, безбедност информација и перформансе и поузданост апликација за наручивање таксија“

Према резултатима студије, лидерска апликација је остала иста „Иандек го“, „Таксовичкоф“ је заостао за Макимом, „Цитимобил“ је побољшао своју позицију и сада заузима треће место на обе иОС и Андроид платформе .

Према резултатима тестирања, најфункционалније апликације су „Иандек го“, „Таксовичкоф“ на обе платформе и Убер на Андроиду, као и“ Цитимобил “ на иОС-у. Најпогодније апликације на крају студије су „Иандек го“, „Таксовичкоф“ и Маким на Андроиду, као и „Таксовичкоф“ и Маким на иОС-у. Што се тиче безбедности информација, све популарне апликације су се добро показале – већина је постигла 3,5 или више. Оцене неких Андроид апликација су смањене због“ праћења “ корисничких података.

Код свих учесника студије, већина функција је имплементирана на високом нивоу. Међутим, Гетт и Диди не дозвољавају позивање таксија без претходног навођења адресе, немају све апликације удаљеност која је остала од аутомобила до корисника: функција недостаје „идемо“, „Таксовичкоф“ и Маким. Андроид верзија Диди не приказује зграде на мапи. Само „Таксовичкоф“, “ Иандек.Го“, „Цитимобил“ и Убер могу поново да изаберу недавну адресу вожње.

Следећа важна тачка за корисника, када је избор аутомобила већ направљен и аутомобил је додељен, је профил возача и аутомобила. Стручњаци су проценили присуство возача на картици возача, његову фотографију и оцену, информације о самом аутомобилу, детаље о компанији превознику, податке о датуму регистрације возача у такси служби.

Као и у прошлој студији, још увек постоји значајна варијација између апликација у степену попуњености профила возача, од његовог стварног одсуства из „идемо“, „Омега“ и Таптаки, до потпуне информативне Фото картице у „Иандек го“, Диди и Гетт.

Следећа важна група критеријума за корисника су жеље за путовањем. У случају да корисник има мало дете, тежак пртљаг или животињу, поседовање одговарајућих филтера је веома важно. Као што је студија показала, проблем недостатка таквих филтера код неких апликација је и даље релевантан. Најмање могућности за жеље за вожњом код Диди, Гетт, Таптаки и Убер.

Додатно је процењено присуство сос дугмета: има га „Омега“, „идемо“, „Иандек Го“ и Маким, као и Диди и „Цитимобил“. Ова функција вам омогућава да једним додиром позовете број 112 или пренесете податке о својој локацији поузданим контактима. Ова функција за некога може бити пресудна при одабиру услуге.

У поређењу са прошлом студијом, приметно популарнија је била могућност додавања одређеног возача у апликацији на црну листу већина то спроводи путем захтева за подршку, али постоје и они који пружају могућност директног закључавања возача . Без процене, разматрана је демонстрација корисничког рејтинга сличног возачу, отворена за путника, има је само „Иандек го“. „ЦитиМобиле“ има сличан ниво корисничког налога по значењу.

Током процеса истраживања безбедносних апликација, Стручњаци су проценили да ли услуга тражи само минимално потребне корисничке податке и дозволе и да ли корисник може да избрише налог. Одвојено је анализирана сигурност пријеноса података и корисничких података. Да би то урадили, стручњаци су снимили сав саобраћај који апликација прослеђује помоћу специјализованог Виресхарк-а, а затим га анализирали на нешифроване податке. Пресретање саобраћаја успешно је решило све апликације – рањивости нису идентификоване.

Уведен је и нови критеријум: доступност аналитичких трагача који прикупљају информације о кориснику. Програмери их додају у добре сврхе-да анализирају понашање корисника и користе ове детаље за развој апликације. Међутим, бесплатни трагачи великих корпорација Facebook или Google, на пример, носе додатне ризике у погледу безбедности информација: непотребно од корисника ИТ гиганти добијају статистичке податке. Из тог разлога, присуство таквих трагача је у студији третирано као минус. У апликацијама на иОС-у нису пронађени такви модули, на Андроиду су по овом критеријуму смањени резултати у Маким-у.

Код 60% апликација везивање банковне картице врши се путем протокола 3-Д Сецуре. Ово је код који се шаље СМС-у, потребан да би услуга била сигурна да картица заиста припада вама. У теорији, његово одсуство може омогућити нападачима да прикаче туђу картицу на свој рачун и касније изврше плаћање путовања са украдене картице или једноставно покупе њене детаље.

Поред тога, стручњаци Росквест извршила проверу свих апликација на Андроид анализатор за рањивости и НДВ „Солар аппсцреенер“ у коришћењу технологије аутоматске бинарне анализе, без вршења обрнутог инжењеринга декомпилације изворног кода . Идентификоване су следеће потенцијалне рањивости: контактирање ДНС-а у 50% случајева, несигурна рефлексија идентификована у 30% испитиваних апликација, несигурна изворна имплементација ССЛ – 20%. Слаб алгоритам хеширања у 80% истражених апликација, Коришћење незаштићеног хттп-70 протокола%. Убризгавање у упит базе података СКЛите – 20%.

Поред 20 познатих апликација које су ушле у студије, стручњаци су такође тестирали сигурност још 63 мале популарне апликације: 36 на Андроид платформи и 27 на иОС-у, респективно.

На иОС платформи, у отвореном облику, подаци о геолокацији корисника су се преносили искључиво у тренутку наручивања, а укупно 6 апликација међу њима је „НонСтоп: услуга наручивања таксија“; „Победа таксија“; „да Таки Тумен“ и „Такси опција“. На Андроид платформи ситуација изгледа горе-тако, Стручњаци су идентификовали 2 апликације – “ св-Таки. Позивање таксија “ и „УпТаки сви градови“ који су, осим горе поменутих података о геолокацији, преносили јавне и личне податке корисника. Телефонски број у једном случају и акредитиви телефонски број и лозинка , као и модел уређаја у другом случају, респективно. Ова рањивост, поред директног угрожавања података, може довести до нових напада од превараната према корисницима.

Такође су идентификоване 3 апликације на Андроиду које су преносиле нешифроване податке о геолокацији корисника, наиме „резервација таксија ГОСТ“, „мој град“ и Такси Сатурн+“. Као и код иОС-а, ова рањивост, иако није критична, и даље је непожељна у смислу дигиталне сигурности.

Посебан проблем на Андроид платформи су сувишни или скривени приступ апликацијама које апликацијама дају скривене функције, а у неким случајевима могу бити чак и злонамерне. Дакле, приступ подацима о статусу телефона добија 17 од 36 апликација на Андроиду, преглед контаката 8 од 36, а приступ обављању телефонских позива добија 6 од 36 апликација.

Међу апликацијама у којима су тражени сви наведени сувишни приступи, можемо поменути “ св-Таки. Позивање таксија“, „Такси нас на путу“ и Фаем.Taxi. Такве апликације не препоручује преузимање.

Провера у складу са политикама приватности апликација за наручивање таксија захтевима Закона „о личним подацима“ № 152-ФЗ от27.07.2006 адвокати аутономне непрофитне организације“ПравоРоботов“. Све у свему, све истражене апликације су се добро показале у погледу права, постигавши 4 поена и више. Изузетак је био „Таксовичкоф“, у чијем је додатку у време истраживања веза до политике приватности била нерадна. У време објављивања студије, проблем није решен. Ипак, све услуге, осим „Таксовичкоф“, преносе податке повезаним трећим лицима.

Питања заштите животног осигурања и здравља путника путничких таксија стално су у зони повећане пажње како државних власти, тако и читавог друштва, већ неколико година. У оквиру студије, Росквесто и правници АНО „ПравоРоботов“ анализирали су информације о осигурању у одговарајућим апликацијама. Само у три од њих „Цитимобил“, “ Иандек.Такси “ и Гетт услуга аутоматски осигурава путника током путовања путника, Маким осигурање путника даје се за откуп трећој страни. Преостале услуге на овај или онај начин пребацују одговорност за ванредне ситуације на рамена возача и / или путника и присиљавају се да прихвате да у ствари превозник „не пружа услуге превоза или логистике“ и не прихвата потраживања укључујући такву формулацију и од Уберове услуге у власништву Иандека .

Станислав Швагерус, шеф Центра компетенција Међународног евроазијског такси форума.

„У Руској Федерацији пракса осигурања путника је добровољна и заправо је конкурентска предност агрегатора на тржишту. Међутим, добровољност таквог осигурања носи значајне ризике за путнике у таксију. Ако обавезно осигурање јасно дефинише начин плаћања, износ исплате осигурања дефинисан и Законом о осигурању и чланом 34 „одговорност изнајмљивача“, савезним законом од 8. новембра 2007. Н 259-ФЗ „Статут друмског транспорта и градског копненог електричног транспорта“, онда у добровољном осигурању одговорности агрегатора, овај редослед и износи плаћања одређују се споразумом између осигуравача и агрегатора. Отуда изузетно мали износи реалне штете по живот и здравље путника путничких таксија“

Сами су агрегатори такозваног „другог ешалона“, који још увек нису осигурали своју одговорност или организовали „фондове за исплату“. Такви агрегатори, по правилу, у својим интерним прописима наводе да „они нису одговорни за јавни уговор о најму путничког таксија који су склопили и да је возач путничког таксија одговоран за сву одговорност путника“. Подаци агрегатори пропуштају из вида да, према члану 37 „ништавост споразума“ Савезног закона од 8. новембра 2007. Н 259-ФЗ „Статут друмског транспорта и градског копненог електричног транспорта“, такви документи су неважећи.

Судска пракса за надокнаду штете по живот и здравље путника у путничком таксију је опсежна и састоји се у масовном признавању одговорности такси агрегатора за штету нанесену путницима путничког таксија уговором о изнајмљивању путничког таксија. Проверите-да ли услуга коју волите за наручивање таксија испуњава безбедносне захтеве и да ли слово закона следи?

Студија је спроведена у складу са методологијом испитивања заснованом на прелиминарном националном стандарду за упоредна испитивања мобилних апликација ПЦТ 277-2023.