03.06.2021

Безопасные приложения для аренды велосипедов и самокатов

Добавить в закладки
Роскачество исследовало приложения, позволяющие взять в аренду велосипеды и самокаты.

Было исследовано восемь приложений велопроката и 27 приложений кикшеринга на обеих мобильных платформах: Bike&Go, BikeMe, Bumerang (Lifcar), BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Альметьевск, GreenBee, lite, LuckyBike, Matur.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBe‪e, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, «Берисамокат», «ВелоБайк», «Велобайк Мультигород‪а», «Зеленый город», «Карусель», «Ситимобил».

Все приложения были признаны безопасными, критических уязвимостей не найдено.

Сколько в России велосипедов и самокатов в аренду?

Рынок микромобильного транспорта – один из самых быстрорастущих в России, до конца 2021 года прогнозируется его увеличение на 300%, до 10 млрд рублей. Если в начале 2020 года в России было не больше 10 тысяч самокатов, то к концу года – уже около 30 тысяч. По состоянию на апрель 2021 года на всех операторов кикшеринга приходится уже около 85 тысяч самокатов (более половины из них в Москве), до конца года это число может дойти до 100 тысяч.

Абсолютное большинство транспорта (около 60 тысяч самокатов) приходится на долю сервисов Urent и Whoosh. Также в апреле стало известно о скором выходе на рынок микромобильного транспорта компании «МТС», что также должно подстегнуть его развитие.

Рынок прокатных велосипедов развивается медленнее: осенью 2020 года в Москве работали 662 пункта проката велосипедов, которые обслуживали шесть с половиной тысяч велосипедов. Весной 2021-го к ним добавится 67 новых станций проката и 1000 новых велосипедов, половина из них – электрические. Это уже сопоставимо с такими городами, как Лондон (18 тысяч) или Нью-Йорк (8 тысяч).

В 2021 году сезон велопроката начался почти на месяц раньше, в первых числах апреля. Дептранс Москвы объяснил это тем, что в год пандемии услуга проката велосипеда через приложение стала очень востребованной у населения (более 8 млн поездок).

Арендовать или купить: сколько стоит прокат?

стоимость проката самокатов

Итоговая стоимость аренды складывается из оплаты старта и поминутной стоимости (а в некоторых случаях и из выбранного тарифного плана), поэтому пользователям рекомендуется внимательно читать условия аренды перед тем, как брать самокат напрокат.

Как пользоваться сервисами аренды велосипедов и самокатов?

Большинство сервисов велопроката и кикшеринга работают по одинаковой несложной схеме:

  • Нужно скачать мобильное приложение и пройти процесс регистрации.

  • Выбрать способ оплаты и тариф (если предусмотрено в сервисе).

  • На карте найти в вашем городе ближайшую базу или самокат.

  • Подойти к транспортному средству и активировать его, следуя инструкции в приложении.

О правилах проката самокатов и велосипедов читайте ЗДЕСЬ.
5781_ B2C Инфографика для приложений для проката_ 4.jpg

5781_ B2C Инфографика для приложений для проката_ 3.jpg


Как проходило исследование приложений на безопасность

Роскачество исследовало приложения сервисов, предоставляющих такую услугу, на информационную безопасность, а также совместно с юристами из АНО «ПравоРоботов» проанализировало их политики конфиденциальности. Всего было изучено 68 приложений (по 34 для iOS и Android). В исследование попали приложения, которые на момент тестирования предоставляли возможность аренды микромобильного транспорта, при этом изучались как работающие в столице, так и региональные сервисы.

5781_ B2C Инфографика для приложений.jpg

Безопасность приложений оценивалась по восьми критериям:

  • Запрос минимально необходимых пользовательских данных. 

  • Запрос необходимых разрешений. 

  • Безопасность передачи данных приложения.

  • Безопасность передачи пользовательских данных.

  • Согласие на обработку и хранение данных.

  • Ссылка на политику конфиденциальности.

  • Сложность пароля. 

  • Удаление аккаунта.

Приложения для Android также были проанализированы на наличие потенциальных уязвимостей с помощью анализатора уязвимостей Solar appScreener.

Большинство приложений для проката велосипедов и самокатов продемонстрировали высокую степень надежности и безопасности, было выявлено лишь несколько недочетов – подробности приведены ниже. Значительная часть приложений имеет схожую архитектуру, где, по сути, меняется только дизайн и контент.

Сложность пароля 

Все изученные сервисы аренды велосипедов и самокатов, кроме двух, имеют доступ в приложение по одноразовым SMS-кодам, что, безусловно, повышает надежность и исключает риск того, что под сторонней учетной записью велосипед или самокат будут арендовать другие люди.

Более низкий уровень безопасности здесь продемонстрировали только сервисы «ВелоБайк – городской велопрокат Москвы» и «Велобайк Мультигорода». Эти приложения присылают разовый логин и PIN-код, которые не меняются со временем.

5811_R06_прокат велосипедов.jpg

Узнав логин и пароль, злоумышленник может потенциально использовать сервис в своих целях, например ездить за счет чужой привязанной карты или даже украсть транспорт, после чего вопросы у сервиса будут именно к владельцу учетной записи. Также ему придется доказывать сервису, что он не виноват в невозвращении транспорта в срок: например, если велосипед не сдан после 48 часов, «ВелоБайк» выписывает владельцу учетной записи штраф в размере 30 тысяч рублей. Аналогичные санкции предусмотрены и в других приложениях велопроката.

Запрос только минимально необходимых пользовательских данных 

Как правило, при авторизации в сервисе онлайн-проката велосипедов и самокатов мы стремимся вводить абсолютный минимум своих персональных данных, но в случае с сервисом проката расширенные данные запрашивает 21% всех приложений.

В частности, приложения Rusharing, e-motion, Zevs, e-GoGo, Flyfer, «Берисамокат, Bike&Go требуют имя и фамилию.

E-motion оказалось единственным приложением, которое попросило при регистрации фото паспорта или водительского удостоверения (впрочем, этот шаг оказалось возможным пропустить при регистрации без видимых последствий).

Запрос только необходимых разрешений

Информационная безопасность приложения во многом определяется его доступами.

Справочно

Для полноценной работы приложения аренды микромобильного транспорта необходимы только два доступа: запрос местоположения и доступ к камере (чтобы отсканировать QR-код). Все остальные доступы в рамках исследования считались избыточными.

Наибольшее количество избыточных доступов было зафиксировано у BusyFly: это осуществление телефонных вызовов, отключение спящего режима, а также запуск при включении устройства. BikeMe осуществляет поиск аккаунтов на устройстве, а ScooBe‪e запрашивает разрешение на показ поверх всех окон (одно из самых потенциально опасных, если бы приложение несло вредоносную составляющую).

С минимальным (неизбыточным) набором доступов оказались 85% проанализированных приложений на платформе Android. Что касается iOS, то по этому критерию данные намного лучше, так как в данной ОС разработчикам на аппаратном уровне намного сложнее встроить необоснованный доступ в свое приложение.

Удаление аккаунта

Ни одно из приложений, которые исследовали эксперты, кроме Whoosh, не позволяет удалить свой аккаунт (при помощи реализованной в программе функции). Однако это можно сделать, обратившись в службу поддержки сервисов.

Разработчики сервиса Eleven пообещали Роскачеству добавить возможность удаления аккаунта в ближайших обновлениях.

Безопасность передачи данных

В ходе исследования специалисты Роскачества анализировали данные, которые передают приложения, перехватывая трафик с использованием специализированного ПО.

У трех приложений системные данные о геолокации передаются в открытом доступе: lite – ride here, ride now, «Зеленый город» и Matur.city.

При желании таким образом можно отследить текущее местонахождение пользователя, однако это не является критичным, ведь пользователь отправляет данные о своей геолокации в момент взятия в аренду самоката или велосипеда, когда находится, как правило, под открытым небом. Это минимизирует риск того, что злоумышленник встроится в канал и сможет как-то манипулировать передаваемыми данными.

Более важно для целей исследования (и самого пользователя), что все приложения продемонстрировали безопасную передачу данных пользователя. Таким образом, персональные и платежные данные при использовании приложений проката из данного исследования будут в безопасности.

Согласие на обработку и хранение данных

Согласие пользователя на передачу и обработку своих данных является важнейшим принципом при предоставлении современных онлайн-услуг. В том или ином виде запрашивается согласие в 100% исследованных приложений, но именно активное согласие запрашивают только 24%.

Уязвимые места в приложениях онлайн-проката велосипедов и самокатов

Специалисты также провели оценку потенциальных уязвимостей и недокументированных возможностей приложений при помощи специализированного ПО – Solar appScreener.

Наиболее значимая и распространенная потенциальная уязвимость – это использование незащищенного протокола HTTP (у 90% приложений на Android), с ней схожа небезопасная собственная реализация SSL (у 34%). Небезопасная рефлексия была отмечена у 87% приложений, слабый алгоритм хеширования – у 62%.

Внедрение в запрос к базе данных SQLite зафиксировано у 22%, обращение к DNS у 82% приложений.

Алгоритм шифрования у большинства приложений реализован хорошо, потенциальные уязвимости выявлены только у 12% рассмотренных приложений.

Чернов.jpg
Даниил Чернов
директор центра Solar appScreener

– Мобильные приложения для аренды велосипедов и самокатов с низким уровнем защищенности способны поставить под удар большой объем чувствительных данных о пользователе. Это могут быть Ф.И.О., номер телефона, email, геолокация, номер банковской карты и другое. Защита этих сведений входит в зону ответственности разработчиков. Исследуемые популярные в России сервисы показали высокий уровень защищенности. При этом не стоит забывать, что каждая новая версия приложения требует анализа качества программного кода и его защищенности. Без этого программы могут стать уязвимыми, а из-за незащищенного ПО пользователи рискуют потерять свои данные, а впоследствии – стать жертвами мошенников.


Стоит еще раз отметить, что выявленные уязвимости являются лишь потенциальными.
Иными словами, это не означает, что их смогут успешно проэксплуатировать злоумышленники, однако это не исключено.

Кому передаются данные из приложений для аренды?

Политики конфиденциальности всех приложений получили достаточно высокие оценки. Из недостатков можно отметить, что не все приложения указывают в документе информацию о хранении данных на территории РФ – отсутствует у 9% приложений, среди них можно отметить Molnia, Vezu и Red Wheels.

Также не все приложения указывают ответственных за сбор данных, такая информация присутствует в политиках только 79% сервисов.

Справочно

Разработчик обязан указывать в политике все идентификаторы третьих лиц, в том числе их наименование, ИНН или ОГРН, но подобные данные отсутствуют в 53% случаев.


Из интересных моментов:

  • У Bike&Go и GoBike предусматривается возможность трансграничной передачи персональных данных.

  • У GreenBee, «Зеленого города» и Seagull правообладателем всей персональной информации, полученной в рамках пользования сервисом, является ИП.

  • «ВелоБайк» официально запрещает использовать прокатный велосипед в качестве имущественного вклада в хозяйственные товарищества и общества.

  • Принимая соглашение, пользователь «ВелоБайка» дает свое согласие получать рекламные сообщения.

Куликов
Никита Куликов
к. ю. н., генеральный директор АНО «ПравоРоботов»

– Пользователи любых сервисов должны осознавать, что все их действия с приложениями, даже такие незначительные, как разблокировка велосипеда или самоката, имеют свой цифровой след и определенные последствия. Так, почти все приложения делятся вашими данными с третьими лицами, пусть и обезличенными.

В любом случае пользователю следует придерживаться общих принципов безопасности:
  • следить за доступами, которые требует приложение,
  • указывать только необходимый минимум данных о себе,
  • не отправлять сканы документов или привязывать платежные данные к подозрительным приложениям, в надежности которых пользователь не уверен,
  • делать это только в том случае, когда итоговая польза от использования приложения будет перевешивать потенциальный ущерб. 

Данные, которыми делятся разработчики с третьими лицами, являются не персональными, а статистическими и обезличенными.


Выводы

  • Исследованные приложения аренды велосипедов и самокатов в большинстве своем реализованы на высоком уровне.

  • Практически ни одно из замечаний, которые можно предъявить по результатам проведенного анализа, не влияет на непосредственный пользовательский опыт.

  • Единственный некритичный момент, на который стоит обратить внимание (с учетом масштабов сервиса), – это не меняющиеся со временем логин и PIN-код, которые теоретически можно использовать для постороннего доступа (у городского велопроката Москвы и его варианта «Мультигорода»).

  • Все приложения признаны в равной степени безопасными.

  • Небезопасных выявлено не было.

5781_ B2C Инфографика для приложений для проката 2.jpg
5781_ B2C Инфографика для приложений для проката.jpg

Рекомендации

  • В целом риск при использовании приложений проката велосипедов и самокатов маловероятен.

  • Приложения от крупных игроков данного рынка рекомендуются Роскачеством для использования.

  • Будьте, однако, осторожны при скачивании приложений малоизвестных сервисов и в любом случае всегда обращайте внимание на доступы, которые они требуют при установке.

  • При выборе сервиса имейте в виду, что они предоставляют свои зоны покрытия и парковки, что важно при планировании маршрута.


Поделиться:
Вам понравилось наше исследование?
Оцените, пожалуйста, насколько исследование было для вас полезным:

Возможно, вам чего-то не хватило в исследовании?

0 комментариев
Наверх

loading

Samsung Galaxy Note 8 (SM-N950F/DS) добавлен к сравнению Всего в списке 3 товара