Росквест је истражио апликације које омогућавају изнајмљивање бицикала и скутера.

Истражено је осам апликација за изнајмљивање бицикала и 27 киксхеринг апликација на обе мобилне платформе: Бике & го, Бикеме, Бумеранг Лифцар, Бусифли, е-Гого, Елевен, Е-Мотион, Флифер, ГоБике Алметиевск, Греенбее, Лите, Луцкибике, Матур.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, „Berisamocat“, „Велобике“, „Велобике Мултигорода“, „Зелени град“, „карусел“,“Ситимобил“.

Колико бицикала и скутера за изнајмљивање у Русији?

Тржиште изнајмљивања скутера у Русији брзо расте. До краја године предвиђа се повећање од 300%: у динарма је 10 милијарди. Ако почетком 2023. године у Русији није било више од 10 хиљада скутера, према подацима из априла ове године, сви оператери кикшеринга већ имају око 85 хиљада, а то није ограничење. Намере за улагање у услуге микромобилног транспорта изразиле су велике компаније као што су Иандек, маил, МТС и Сбербанк. Апсолутна већина транспорта-око 60 хиљада скутера-долази од услуга Урент и Вхоосх.

Тржиште изнајмљивања бицикала развија се спорије: у јесен 2023. године у Београду су радила 662 места за изнајмљивање бицикала која су опслуживала 6,5 хиљада бицикала. Овог пролећа додаће им 67 нових станица за изнајмљивање и 1.000 нових бицикала, од којих је половина електричних. То је већ упоредиво са градовима попут Лондона 18 хиљада или Њујорка 8 хиљада . Ове године сезона изнајмљивања бицикала започела је месец дана раније него иначе, првих дана априла. Дептранс из Београда објаснио је да је у години пандемије услуга изнајмљивања бицикла путем апликације постала веома тражена код становништва од преко 8 милиона путовања .

Док саобраћајна полиција бележи пораст несрећа које укључују микромобилни транспорт, влада разматра изједначавање скутера са возилима како би ограничила брзину и последично смањила број жртава. Међутим, корисници апликација за изнајмљивање су све већи. Роскварт је проценио информациону сигурност таквих апликација и упозорио на ризике.

Већина услуга изнајмљивања бицикала и киксхеринга ради на истој некомпликованој шеми:

* Морате преузети мобилну апликацију и проћи кроз процес регистрације.

* Изаберите начин плаћања и тарифу ако је то предвиђено у служби.

* Пронађите најближу базу или скутер на мапи.

* Приђите возилу и активирајте га пратећи упутства у апликацији.

Приликом провере кикшерингових и бициклистичких услуга за информациону безбедност, Росквесто је заједно са адвокатима из Ано „ПравоРоботов“ такође анализирао њихове политике приватности. Укупно је проучено 68 апликација од 34 за иОС и Андроид . Студија је обухватила апликације које су у време тестирања пружале могућност изнајмљивања микромобилног транспорта, док су проучаване и у главном граду и у регионалним услугама.

Безбедност апликација процењена је на осам критеријума:

● Захтевајте минимално потребне корисничке податке

● Тражење потребних дозвола

● Безбедност података апликације

● Сигурност преноса корисничких података

● Сагласност за обраду и складиштење података

● Веза до политике приватности

● Сложеност лозинке

● Брисање налога

Андроид апликације су такође тестиране на потенцијалне рањивости помоћу Солар аппсцреенер анализатора рањивости. Значајан део апликација има сличну архитектуру, где се мењају само дизајн и садржај.

Сложеност лозинке

Све истражене Услуге изнајмљивања бицикала, осим две, имају приступ апликацији путем једнократних СМС кодова, што повећава поузданост и елиминише ризик да ће други људи изнајмити бицикл или скутер под рачуном треће стране. Нижи ниво безбедности показали су само услуге „Велобике – градски бициклистички изнајмљивање Москве“ и „Велобике Мултигород“. Ове апликације шаљу једнократну пријаву и ПИН који се не мења током времена. Након што је сазнао пријаву и лозинку, нападач би потенцијално могао да користи услугу у своје сврхе, као што је вожња туђом везаном картицом или чак крађа превоза, након чега ће питања услуге бити тачно власнику рачуна: мораће да докаже да није крив. На пример, ако бицикл није изнајмљен након 48 сати изнајмљивања,

„Велобике“ пише власнику рачуна казну од 30 хиљада динарла. Сличне санкције предвиђене су и код других апликација за изнајмљивање бицикала.

Захтевајте само минимално потребне корисничке податке

Генерално, када смо овлашћени за услугу изнајмљивања бицикала на мрежи, настојимо да унесемо апсолутни минимум својих личних података, али у случају Услуге изнајмљивања, напредни подаци тражи 21% свих апликација. Конкретно, апликације Русхаринг, Е-Мотион, Зевс, е-Гого, Флифер, Берисамоцат, Бике & го захтевају име и презиме. Е-мотион се показао као једина апликација која је приликом регистрације затражила фотографију пасоша или возачке дозволе, међутим, овај корак се може прескочити приликом регистрације без очигледних последица .

Тражење само потребних дозвола

Сигурност информација апликације у великој мери је одређена њеним приступима. Да би апликација за изнајмљивање микромобилног транспорта у потпуности функционисала, потребна су само два: захтев за локацију и приступ камери да бисте скенирали КР код . Сви остали приступи у оквиру студије узети су као сувишни. Највећи број сувишних приступа забележен је код Бусифли-а: упућивање телефонских позива, онемогућавање хибернације, као и покретање када је уређај укључен. Бикеме претражује рачуне на уређају, а Сцообее тражи дозволу за приказивање на врху свих прозора-то је један од потенцијално најопаснијих приступа. 85% анализираних апликација на Андроид платформи не тражи вишак приступа, на иОС-у је та бројка још већа због карактеристика самог оперативног система.

Брисање налога

Ниједна од апликација које су стручњаци истраживали, осим Вхоосх – а, не дозвољава вам да избришете свој налог помоћу функције имплементиране у програму. Међутим, то се може учинити контактирањем подршке за услуге. Програмери услуге Елевен обећали су да ће додати могућност брисања налога у наредним ажурирањима.

Сигурност преноса података

У студији су стручњаци за ткање анализирали податке који преносе апликације пресретањем саобраћаја помоћу специјализованог софтвера. У три апликације системски подаци о геолокацији се деле у јавном домену: „Лите-Риде хере, Риде нов“, „Греен Цити“ и “ Матур.city». Ако желите, на овај начин можете пратити тренутну локацију корисника, али чешће особа шаље податке о својој геолокацији у тренутку изнајмљивања скутера или бицикла док је на отвореном. Ово минимизира ризик да се нападач угради у цев и може да манипулише преносивим подацима. Што је још важније, све апликације су показале сигуран пренос података корисника. Дакле, лични и подаци о плаћању приликом коришћења апликација које је истражио квалитет ће бити сигурни.

Сагласност за обраду и складиштење података

Сагласност корисника за пренос и обраду њихових података је кључни принцип у пружању савремених мрежних услуга. У једном или другом облику тражи се сагласност од свих 100% истражених апликација, али само 24 захтева активну сагласност%.

Рањивости у апликацијама за изнајмљивање скутера и бицикала на мрежи

Стручњаци су такође проценили потенцијалне рањивости и недокументиране могућности апликација уз помоћ специјализованог софтвера „Солар аппсцреенер“. Најзначајнија и најраспрострањенија потенцијална рањивост је употреба незаштићеног ХТТП протокола у 90% Андроид апликација, слична је несигурној изворној ССЛ имплементацији у 34% . Убризгавање у упит базе података СКЛите забележено је у 22%, ДНС приступ у 82% апликација. Алгоритам шифровања у већини апликација је добро имплементиран, са потенцијалним рањивостима идентификованим у само 12% прегледаних апликација.

Данијел Чернов, директор Центра Солар аппсцреенер компаније „Ростелецом-Солар“.

„Мобилне апликације за изнајмљивање бицикала и скутера са ниском сигурношћу могу погодити велику количину осетљивих података о кориснику. То могу бити ФИО, телефонски број, е-пошта, Геолокација, број банковне картице и још много тога. Заштита ових информација спада у зону одговорности програмера. Истражене популарне услуге у Русији показале су висок ниво сигурности. Истовремено, не заборавите да свака нова верзија апликације захтева анализу квалитета софтверског кода и његове сигурности“

Правна процена

Политике приватности свих апликација постигле су прилично високе оцене. Од недостатака – не све апликације у документу наводе информације о складиштењу података на територији Руске Федерације-недостаје у 9% апликација, међу њима можемо поменути молниа, везу и ред Вхеелс. Такође, програмер је дужан да у политици наведе све идентификаторе трећих лица, укључујући и њихово име ТИН или ОГРН, али слични подаци недостају у 53% случајева. Бике & Го и ГоБике имају могућност прекограничног преноса личних података. Греенбее, „Зелени град“ и Сеагулл имају носиоца права на све личне информације добијене у оквиру коришћења услуге. А Велобике званично забрањује употребу ваљаног бицикла као имовинског доприноса економским партнерствима и друштвима.

Никита Куликов, генерални директор Ано“ПравоРоботов“

„Корисници било које услуге морају бити свесни да све њихове активности са апликацијама, чак и оне мање попут откључавања бицикла или скутера, имају свој дигитални отисак и одређене последице. Дакле, скоро све апликације деле ваше податке са трећим лицима, ма колико деперсонализоване. У сваком случају, корисник треба да се придржава општих безбедносних принципа: да прати приступе које апликација захтева, да наведе само потребан минимум података о себи. Не бисте требали слати скенирање докумената или повезивати податке о плаћању са сумњивим апликацијама за које корисник није сигуран у поузданост“.

Закључак студије дели шеф Центра за дигиталну експертизу Роскварт Антон Куканов:

„Истражене апликације за изнајмљивање бицикала и скутера углавном се примењују на високом нивоу и сматрају се подједнако сигурним. Ниједна примедба која се може изнети на основу резултата њихове анализе не утиче на директно корисничко искуство. Једина ствар на коју треба обратити пажњу је пријава и ПИН који се не мењају током времена, а који се теоретски могу користити за аутсајдерски приступ“.

Закључци и препоруке

Истражене апликације за изнајмљивање бицикала и скутера углавном су имплементиране на високом нивоу. Практично ниједна од примедби које се могу представити на основу резултата анализе не утиче на директно корисничко искуство. Једина некритична тачка на коју треба обратити пажњу с обзиром на обим услуге је пријава и ПИН који се не мењају током времена, а који се теоретски могу користити за аутсајдерски приступ градском бициклистичком изнајмљивању Москве и његовој варијанти“Мултигород“ . Све апликације су признате као једнако сигурне, нису идентификоване небезбедне.

Све у свему, ризик од употребе апликација за изнајмљивање бицикала и скутера је мало вероватан. Апликације великих играча овог тржишта препоручују се за употребу. Међутим, будите опрезни при преузимању апликација опскурних услуга и у сваком случају увек обратите пажњу на приступе које захтевају приликом инсталирања. Када бирате услугу, имајте на уму да они пружају своја подручја покривања и паркирања, што је важно приликом планирања руте.