Роскачеством выявлены небезопасные приложения для вызова такси
Центр цифровой экспертизы Роскачества провел исследование 20 наиболее популярных мобильных приложений по заказу такси. Учитывая то, что сервисы такси собирают и хранят наши персональные и платежные данные, они должны показывать безупречные результаты по критерию безопасности. Также дополнительно была проанализирована информационная безопасность более 60 малоизвестных приложений. Увы, не все из них оказались безопасными.
С 2016 года рынок такси непрерывно растет и быстро изменяется, в 2021 году сразу несколько сервисов, включая ранее проанализированные Роскачеством «Везет» и «Рутакси», были приобретены «Яндексом», что увеличило его общую долю и сделало абсолютным лидером по присутствию (40% в целом, 67% среди агрегаторов, по данным Forbes на сентябрь 2021 года).
Чтобы выяснить, насколько приложения для заказа такси функциональны, качественны и безопасны, Роскачество протестировало 20 приложений: по 10 для iOS и Android. А юристы АНО «ПравоРоботов» изучили политики конфиденциальности сервисов на соответствие Федеральному закону «О персональных данных» (№ 152-ФЗ от 27.07.2006) и выделили негативные и положительные аспекты, на которые пользователям стоит обратить внимание.
Сергей Бодров, руководитель Центра цифровой экспертизы Роскачества.
“Во время исследования специалисты использовали приложения как рядовые пользователи: заказывали такси и передвигались по городу, анализировали работу приложения и его функциональные возможности, добавляли адреса в избранное и пожелания к заказам, изучали профили водителей (информацию о водителях, машинах, компании-перевозчике) и отрабатывали другие типовые сценарии использования. Дополнительно проводился тест приложений на безопасность с использованием специализированного ПО. В результате были проверены все ключевые функции, оценены удобство, информационная безопасность, а также производительность и надежность приложений заказа такси”
По результатам исследования приложение-лидер осталось прежним («Яндекс Go»), «Таксовичкоф» уступил maxim, «Ситимобил» улучшил свои позиции и теперь занимает третье место на обеих платформах (iOS и Android).
По результатам тестирования наиболее функциональные приложения – «Яндекс Go», «Таксовичкоф» на обеих платформах и Uber на Android, а также «Ситимобил» на iOS. Наиболее удобные приложения по итогам исследования – «Яндекс Go», «Таксовичкоф» и maxim на Android, а также «Таксовичкоф» и maxim на iOS. Что касается информационной безопасности, все популярные приложения показали хорошие результаты – большинство набрало 3,5 и более баллов. Оценки у некоторых приложений на Android были снижены за наличие «трекеров» пользовательских данных.
У всех участников исследования большинство функций реализовано на высоком уровне. Однако Gett и DiDi не позволяют вызвать такси без предварительного указания адреса, не у всех приложений отображается расстояние, которое осталось от автомобиля до пользователя: функция отсутствует у «Поехали», «Таксовичкоф» и maxim. В версии DiDi для Android на карте не отображаются здания. Только у «Таксовичкоф», «Яндекс.Go», «Ситимобил» и Uber можно снова выбрать недавний адрес поездки.
Следующий важный для пользователя момент, когда выбор машины уже сделан, и автомобиль назначен, это профиль водителя и автомобиля. Специалисты оценивали наличие в карточке водителя ФИО водителя, его фотографии и рейтинга, информации о самом автомобиле, сведений о компании-перевозчике, данных о дате регистрации водителя в сервисе такси.
Как и в прошлом исследовании, между приложениями все еще наблюдается значительный разброс в степени наполненности профиля водителя, от фактического его отсутствия у «Поехали», «Омега» и TapTaxi, до полной информативной карточки с фото у «Яндекс Go», DiDi и Gett.
Следующая важная для пользователя группа критериев – это пожелания к поездке. В том случае, если у пользователя маленький ребенок, тяжелый багаж или животное, наличие соответствующих фильтров является очень важным. Как показало исследование, проблема отсутствия таких фильтров у некоторых приложений по-прежнему актуальна. Меньше всего возможностей по пожеланиям к поездке у DiDi, Gett, TapTaxi и Uber.
Дополнительно оценивалось наличие SOS-кнопки: она есть у «Омега», «Поехали», «Яндекс Go» и maxim, а также DiDi и «Ситимобил». Эта функция позволяет одним нажатием набрать номер 112, либо передать данные о своем местоположении доверенным контактам. Эта функция для кого-то может стать решающей при выборе сервиса.
По сравнению с прошлым исследованием заметно более популярной стала возможность добавить конкретного водителя в приложении в черный список (у большинства это реализовано через запрос в службу поддержки, но есть и те, кто дает возможность напрямую заблокировать водителя). Без оценки рассматривалась демонстрация пользовательского рейтинга (аналогичного водительскому), в открытом для пассажира виде он есть только у «Яндекс Go». У «Ситимобила» есть аналогичный по смыслу уровень аккаунта пользователя.
В процессе исследования приложений на безопасность, эксперты оценивали, запрашивает ли сервис только минимально необходимые пользовательские данные и разрешения, а также может ли пользователь удалить аккаунт. Отдельно анализировалась безопасность передачи данных приложения и пользовательских данных. Для этого эксперты производили захват всего трафика, который пересылает приложение, с помощью специализированного ПО (Wireshark), а затем анализировали его на наличие незашифрованных данных. С перехватом трафика успешно справились все приложения – уязвимости выявлены не были.
Также был введен новый критерий: наличие аналитических трекеров, собирающих информацию о пользователе. Они добавляются разработчиками в благих целях – для анализа поведения пользователей и использовании этих сведений для развития приложения. Однако бесплатные трекеры крупных корпораций (например, Facebook или Google) несут дополнительные риски с точки зрения информационной безопасности: без надобности со стороны пользователя IT-гиганты получают статистические данные. По этой причине наличие таких трекеров рассматривалось в ходе исследования как минус. В приложениях на iOS такие модули обнаружены не были, на Android по этому критерию были снижены баллы у maxim.
У 60% приложений привязка банковской карты осуществляется по протоколу 3-D Secure. Это код, отправляемый в СМС, нужен для того, чтобы сервис убедился, что карта действительно принадлежит вам. Теоретически его отсутствие может позволить злоумышленникам привязать чужую карту к своему аккаунту и в дальнейшем совершать оплату поездки с украденной карты или просто подобрав ее реквизиты.
Дополнительно эксперты Роскачества провели проверку всех приложений на Android анализатором на наличие уязвимостей и НДВ «Solar appScreener» при использовании технологии автоматического бинарного анализа, без осуществления реверс-инжиниринга (декомпиляции исходного кода). Были выявлены следующие потенциальные уязвимости: обращение к DNS в 50% случаев, небезопасная рефлексия выявлена у 30% исследованных приложений, небезопасная собственная реализация SSL – 20%. Слабый алгоритм хеширования у 80% исследованных приложений, использование незащищенного протокола HTTP – 70%. Внедрение в запрос к базе данных SQLite – 20%.
Дополнительно к вошедшим в исследования 20 известным приложениям специалисты также проверили на безопасность еще 63 малопопулярных приложений: 36 на платформе Android и 27 на iOS соответственно.
На платформе iOS в открытом виде передавались исключительно данные геолокации пользователя в момент заказа, всего на этом попались 6 приложений среди них «НонСтоп: сервис заказа такси»; «Такси Победа»; «DA ТАКСИ Тюмень» и «Такси Вариант». На платформе Android ситуация выглядит хуже - так, специалисты выявили 2 приложения – «SV-TAXI. Вызов такси» и «UpTaxi (все города)», которые, кроме вышеупомянутых данных геолокации, передавали в открытом доступе и персональные данные пользователя. Номер телефона в одном случае и учетные данные (номер телефона и пароль), а также модель устройства во втором случае соответственно. Данная уязвимость, помимо прямой компрометации данных, может повлечь за собой новые атаки от мошенников в сторону пользователей.
Также были выявлены 3 приложения на Android, которые передавали в незашифрованном виде данные геолокации пользователя, а именно – «Заказ такси ГОСТ», «Мой Город» и Такси Сатурн+». Как и в случае с iOS, данная уязвимость хоть и не является критичной, все же нежелательна с точки зрения обеспечения цифровой безопасности.
Отдельной проблемой на платформе Android являются избыточные или скрытые доступы приложений, которые наделяют приложения скрытыми функциями, а в некоторых случаях они могут быть даже зловредными. Так, доступ к получению данных о статусе телефона получают 17 из 36 приложений на Android, просмотр контактов у 8 из 36, а доступ к осуществлению телефонных вызовов получают 6 из 36 приложений.
Среди приложений, где запрашивались все перечисленные избыточные доступы можно отметить «SV-TAXI. Вызов такси», «Такси Нам По Пути» и Faem.Taxi. Такие приложения Роскачество не рекомендует скачивать.
Проверку на соответствие политик конфиденциальности приложений заказа такси требованиям закона «О персональных данных» (№ 152-ФЗ от27.07.2006) проводили юристы Автономной некоммерческой организации «ПравоРоботов». В целом все исследованные приложения показали хорошие результаты с точки зрения права, набрав 4 балла и выше. Исключение составил «Таксовичкоф», в приложении которого на момент проведения исследования ссылка на политику конфиденциальности была нерабочей. На момент публикации исследования проблема исправлена не была. Тем не менее все сервисы, кроме «Таксовичкоф», передают данные аффилированным третьим лицам.
Вопросы страховой защиты жизни и здоровья пассажиров легкового такси постоянно находятся в зоне повышенного внимания как органов государственной власти, так и всего общества, уже на протяжении нескольких лет. В рамках исследования Роскачество и юристы АНО «ПравоРоботов» проанализировали информацию о страховании в соответствующих приложениях. Только в трех из них («Ситимобил», «Яндекс.Такси» и Gett) сервис автоматически страхует пассажира во время пассажира поездки, у maxim страхование пассажиров отдается на откуп третьей стороне. Остальные сервисы так или иначе перекладывают ответственность за чрезвычайные ситуации на плечи водителя и/или пассажира и вынуждают согласиться с тем, что фактически перевозчик «не обеспечивает осуществление перевозок или логистических услуг» и не принимает претензии (в том числе такая формулировка и у сервиса Uber, принадлежащего «Яндексу»).
Станислав Швагерус, Руководитель Центра компетенций Международного Евразийского форума такси.
“В Российской Федерации практика страхования пассажиров носит добровольный характер и фактически является конкурентным преимуществом агрегатора на рынке. Однако добровольность такого страхования несет в себе существенные риски для пассажиров такси. Если обязательное страхование четко определяет порядок выплат, размер страховой выплаты, определяемый как страховым законодательством, так и статьей 34 «ответственность фрахтовщика», Федерального закона от 8 ноября 2007 г. N 259-ФЗ «Устав автомобильного транспорта и городского наземного электрического транспорта», то при добровольном страховании ответственности агрегаторов этот порядок и суммы выплат определяются соглашением между страховщиком и агрегатором. Отсюда и крайне малые суммы реального возмещения ущерба жизни и здоровью пассажиров легкового такси”
Особняком стоят агрегаторы так называемого «второго эшелона», которые до сих пор не застраховали свою ответственность или не организовали «фонды выплат». Такие агрегаторы, как правило, указывают в своих внутренних правилах что «они не несут ответственности за заключаемый ими публичный договор фрахтования легкового такси, и что всю ответственность перед пассажиром несет водитель легкового такси». Данные агрегаторы упускают из вида, что, согласно статье 37 «недействительность соглашений» Федерального закона от 8 ноября 2007 г. N 259-ФЗ «Устав автомобильного транспорта и городского наземного электрического транспорта», такие документы являются недействительными.
Судебная практика по возмещению вреда жизни и здоровью пассажиров легкового такси обширна и заключается в массовом признании ответственности агрегаторов такси за вред, причиненный пассажирам легкового такси по договору фрахтования легкового такси. Проверьте – отвечает ли полюбившийся вам сервис по заказу такси требованиям безопасности и следует ли букве закона?
Исследование проведено в соответствии с методикой испытаний, базирующейся на предварительном национальном стандарте на сравнительные испытания мобильных приложений ПНСТ 277-2018.
Отзывы и комментарии