Search
19 апреля 2021
  • :
  • :

Роскачество оценило приложения для заказа такси и выявило небезопасные

Центр цифровой экспертизы Роскачества провел исследование наиболее популярных мобильных приложений для заказа такси. Эксперты выяснили, какие сервисы – самые безопасные и функциональные, а значит, рекомендуются к использованию, а какие – лучше и вовсе удалить со своего смартфона.

Роскачество оценило приложения для заказа такси и выявило небезопасные

Согласно исследованию ФОМ за декабрь 2020 года, всего услугами такси за последний год пользовались 66% россиян (в крупных городах эта цифра достигает 73%). 4% россиян в последний год брали такси почти каждый день, 10% – несколько раз в неделю, 22% – несколько раз в месяц, 29% – несколько раз за год. Большинство жителей РФ (69%) уже привыкли к сервису и считают его безопасным. Так ли это на самом деле? В предыдущий раз Роскачество исследовало мобильные приложения по заказу такси в декабре 2019 года. Тогда у специалистов Роскачества было немало вопросов к безопасности мобильных приложений.

Чтобы выяснить, насколько приложения для заказа такси функциональны, качественны и безопасны, Роскачество протестировало 22 приложения: по 11 для iOS и Android. Дополнительно эксперты проанализировали на безопасность малопопулярные приложения для заказа такси за скобками основного рейтинга. Среди более 100 исследованных таким образом программ были найдены небезопасные.

Пятерка лидеров в этом году изменилась не сильно: в нее вошел «Таксовичкоф», в прошлом исследовании занимавший только 7 место, а «серебряный призер» 2019 года Uber, наоборот, из лидеров выпал. Также в позиции понизился Gett до 5-ой позиции на обеих платформах. Лучшими по совокупности всех критериев признаны приложения «Яндекс Go», «Таксовичкоф» и «Ситимобил» на Android, на iOS – «Яндекс Go», maxim и «Таксовичкоф».

Во время исследования специалисты Роскачества использовали приложения как рядовые пользователи: заказывали и передвигались на такси, анализировали работу приложения и его функциональные возможности, добавляли адреса в избранное и пожелания к заказам, изучали профили водителей (информацию о водителях, машинах, компании-перевозчике), и так далее. Также проводился дополнительный тест приложений на безопасность с использованием специализированного ПО. Испытания проводились по 139 критериям, были проверены все ключевые функции, оценены удобство, информационная безопасность, производительность и надежность приложений заказа такси.

При выставлении оценок приложениям учитывались результаты глубинных интервью с пользователями такси, проведенные специалистами Роскачества, и семантический анализ более 900 отзывов в App Store и Google Play Маркете.

Функциональность

Одна из самых важных потребительских характеристик любого мобильного приложения – это функциональные возможности. Экспертами были проверены карточки водителей и автомобилей, функция заказа автомобиля, наличие возможности оставить пожелания к поездке (наличие детей, багажа, животных и так далее), просмотра ее истории, функциональность настроек и прочее.

Недоработки, отмеченные специалистами: у DiDi на карте не отображаются здания (в версии, которая вышла уже после завершения исследования, это было исправлено), у «Рутакси» – местоположение пользователя. Gett, DiDi и Bolt не дают возможности заказать автомобиль для другого человека. Didi и Bolt также не позволяют указать подъезд при заказе. Gett – единственное такси без возможности указать промежуточные остановки. Gett, Bolt и Uber не позволяют заказать второй автомобиль. «Поехали» и DiDi не позволяют просмотреть недавние адреса. Аутсайдерами при оценке карточек стали «Везет» и «Рутакси», у которых карточка водителя, по сути, отсутствует, и есть информация только об автомобиле. Фото и рейтинг водителя есть менее, чем у половины приложений.

У DiDi отсутствует функция оставить пожелания к заказу. Возможность попросить водителя о помощи при посадке есть только у maxim, «Поехали» и «Таксовичкоф» – это особенно важно для маломобильных пассажиров. Также стоит отметить отсутствие у половины сервисов возможности указать наличие багажа или необходимость свободного пространства под его размещение.

Во время самой поездки оценивались различные функциональные возможности, облегчающие жизнь пассажиру. Если связь с водителем (до посадки) и уведомления о прибытии автомобиля реализованы как базовые функции у всех приложений, то оповещение водителя со стороны пассажира о своем выходе уже оказывается более редким (есть только у 45% приложений). А важная для безопасности пассажиров возможность поделиться ссылкой на поездку с третьими лицами присутствует почти у всех приложений – кроме «Ситимобил», Gett и «Рутакси».

Менее чем у половины приложений можно изменить способ оплаты во время поездки, у остальных это можно сделать только до момента заказа. Самой редкой функцией в группе оказалась SOS-кнопка: она есть только у «Яндекс Go», DiDi и Bolt. Эта функция позволяет одним нажатием набрать номер 112, либо передать данные о своем местоположении доверенным контактам. Изменить маршрут уже после начала поездки позволяют все сервисы, кроме «Рутакси» и «Таксовичкоф».

Приложения по заказу такси были оценены на предмет наличия всех способов оплаты (наличный, безналичный расчет, Google/Apple Pay), а также удобство безналичного расчета (привязка нескольких карт, автозаполнение реквизитов через сканирование карты), возможность установить размер чаевых как до совершения поездки, так и после её завершения (оба варианта есть у 45% приложений). Безналичный расчет с помощью сторонних сервисов поддерживает менее половины приложений, столько же позволяют отсканировать карту.

Отдельно от других функций оценивалась возможность добавить конкретного водителя в приложении в черный список (на Android есть только у DiDi, на iOS – у «Яндекс Go», Gett и Uber). Без оценки рассматривалась демонстрация пользовательского рейтинга (аналогичного водительскому), в открытом для пассажира виде он есть только у «Яндекс Go».

По результатам тестирования наиболее функциональные приложения на Android– «Яндекс Go», «Таксовичкоф» и «Поехали» , на iOS -«Яндекс Go», «Таксовичкоф» и Gett 

Помимо функциональности, экспертами проверялось удобство пользования приложений. Специалисты провели юзабилити-тестирование приложений с привлечением более 180 рядовых пользователей. В ходе исследования пользователям давались тестовые задания, например, найти в интерфейсе опцию для оставления комментариев к поездке или изменения способа оплаты, и анализировались их действия. Это позволило оценить понятность и удобство интерфейса приложений. Удобнее всего пользователям было взаимодействовать с приложениями Uber и «Яндекс.Go».

Помощь в приложении в полном объеме реализована только у «Яндекс.Go» и Uber (чат или форма обратной связи, справка по использованию сервиса, возможность сделать звонок в службу поддержки).

Адаптация для людей с ограниченными возможностями (поддержка динамического шрифта и программ чтения экрана VoiceOver / Talkback) в полном объеме присутствует только у «Таксовичкоф» на Android. У приложений на iOS в целом по данному критерию оценки традиционно хуже из-за технических особенностей платформы, 4 балла набрал только «Ситимобил».

У всех исследованных приложений отсутствуют встроенные рекламные материалы, кроме «Таксовичкоф», у которого есть встроенная рекламная интеграция сервиса по доставке еды.

Роскачество оценило приложения для заказа такси и выявило небезопасные

Роскачество оценило приложения для заказа такси и выявило небезопасные

Безопасность

Значительную важность для сервисов по заказу такси имеет информационная безопасность, так как пользователь указывает в приложении свои платежные данные, а в некоторых случаях и персональные. В процессе исследования мы оценивали, запрашивает ли сервис только минимально необходимые пользовательские данные и разрешения. Отдельно анализировалась безопасность передачи данных приложения и пользовательских данных.

Для того, чтобы проверить безопасность передачи данных, эксперты производили захват всего трафика, который пересылает приложение, с помощью специализированного ПО (Wireshark), а затем анализировали его на наличие незашифрованных данных. С перехватом трафика успешно справились все приложения кроме Android-версий DiDi и «Везет»: Didi передает в незашифрованном виде картинки приложения (контент), а «Везет» – координаты пользователя и адрес назначения, что уже гораздо серьезнее.

Потенциально, перехватив эти данные, мошенник может проследить путь до адреса назначения жертвы и в дальнейшем использовать эту информацию для целевых атак. У всех приложений, кроме DiDi, Bolt и Uber, привязка банковской карты осуществляется по протоколу 3-D Secure.

В этом году все приложения оказались безопасными и надежными, 73% сервисов на iOS и Android набрали 4 балла и выше. У DiDi и Bolt на обеих платформах оценка была снижена за избыточный запрос данных при регистрации.

Дополнительно эксперты Роскачества провели проверку всех приложений на Android анализатором на наличие уязвимостей «Solar appScreener» при использовании технологии автоматического бинарного анализа, без осуществления реверс-инжиниринга (декомпиляции исходного кода).

В итоге были выявлены следующие потенциальные уязвимости: небезопасная собственная реализация SSL у 54%, небезопасная рефлексия у 81%, использование незащищённого протокола HTTP у 90%, слабый алгоритм хеширования у 72%, слабый алгоритм шифрования у 9%, внедрение в запрос к базе данных SQLite у 18%, обращение к DNS у 90%.

Дополнительно к вошедшим в исследования 22 известным приложениям специалисты также проверили на безопасность еще около сотни куда менее популярных приложений (65% из них было для Android).

В некоторых приложениях, отдельно проверенных Роскачеством, обнаружились «дыры», которые чреваты неприятными последствиями для пользователей. Как минимум в 5 программах была выявлена незащищенная передача координат пассажира, в некоторых случаях к этому добавлялся номер и модель телефона или даже личные данные пользователя. Есть риск получения злоумышленниками этих данных, которые в дальнейшем могут быть использованы против жертвы», – подчеркнул Антон Куканов, руководитель Центра цифровой экспертизы Роскачества.

Незашифрованный номер телефона (у «Такси Сатурн», RED TAXI, UpTaxi, «Заказ такси ГОСТ») – потенциальная уязвимость, так как, перехватив данные, злоумышленник получит к нему доступ. Конкретная модель телефона – тоже нежелательные сведения, ведь у каждого телефона в зависимости от модели свои уязвимости, чем могут воспользоваться злоумышленники, если они целенаправленно охотятся за жертвой. Особенно это касается старых моделей смартфонов.

Личные данные (у «Такси Сатурн») – это связка номера телефона и имени, что является весьма чувствительной информацией. Координаты (у X-Carпри наихудшем сценарии –TAXI) -SVи UpTaxi , «Таксик», «НонСтоп», злоумышленник может получить координаты назначения, но в основном передаются координаты настоящего местонахождения. Все эти уязвимости ения и несут в себе могут оказаться входом в периметр безопасности приложпотенциальные угрозы. В связи с этим не рекомендуется пользоваться Fi (например, -приложениями, если ваш телефон подключен к публичному Wiиспользуйте для этой цели мобильный интернет. –в ресторане или отеле)

Политика конфиденциальности 

Проверку на соответствие политик конфиденциальности приложений заказа такси требованиям закона «О персональных данных» (№ 152-ФЗ от 27.07.2006) проводили юристы Автономной некоммерческой организации «ПравоРоботов». В этом исследовании соответствующая группа из 17 параметров испытаний составила 10% от итоговой оценки приложений.

Юристы проанализировали политики на соответствие российскому законодательству, а также проверили приложения по важным для пользователей критериям, таким как условия прекращения обработки персональных данных, указание ответственных за их сбор лиц, сторон, которым они передаются, а также наличие глоссария и русскоязычной локализации в пользовательской документации сервисов. Проверялась также информация о страховании пассажиров (в полном объеме присутствует внутри самого приложения она только у maxim, у остальных документ открывается в браузере).

Политика сервиса Bolt имеет указание на передачу данных третьим лицам, помимо требований установленных законодательством и аффилированных лиц, при этом перечень самих третьих лиц не приводится. А в политике Uber отсутствует информация об обрабатываемых персональных данных. Также стоит обратить внимание на автоматическое согласие пользователей на получение рекламных рассылок (например, у maxim и «Таксовичкоф»).

Gett собирает даже такую информацию, как производительность аккумулятора и сети (например, состояние аккумулятора и использование зарядного устройства), а также имена файлов, типы и размеры файлов на вашем устройстве, включая количество свободного и используемого пространства на локальном запоминающем устройстве.

В политиках конфиденциальности всех сервисов, кроме «Таксовичкоф», имеется указание о передаче данных пользователей третьим лицам. Как правило это касается сбора данных по использованию пользователями приложений.

Никита Куликов, к.т.н., генеральный директор АНО «ПравоРоботов»

«Исследование показало, что, помимо своих прямых обязанностей по обеспечению перевозки граждан, ряд сервисов собирает избыточное количество данных, напрямую не связанных с деятельностью по заказу такси. Некоторые сервисы еще и делятся вашими данными с третьими лицами, в том числе – с иностранными. В связи с этим, любому пользователю важно помнить, что даже в самых неочевидных ситуациях конфиденциальность ваших персональных данных может быть под вопросом».

Негативные и позитивные аспекты политик конфиденциальности, на которые юристы рекомендуют обратить внимание, приведены в карточках каждого из приложений. Исследование проведено в соответствии с методикой испытаний, базирующейся на предварительном национальном стандарте на сравнительные испытания мобильных приложений ПНСТ 277-2018




Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *