Роскачество назвало главные недостатки приложений для аренды самокатов

Эксперты Роскачества рассказали о главных недостатках приложений для аренды самокатов и велосипедов в своем новом исследовании.

Рынок аренды самокатов в России стремительно растет. До конца года прогнозируется его увеличение на 300%: в рублях это 10 миллиардов. Намерения инвестировать в сервисы микромобильного транспорта  высказали такие крупные компании, как Яндекс, mail.ru, МТС и Сбербанк.

А вот рынок аренды велосипедов развивается медленнее: осенью 2020 года в Москве работали 662 пункта проката велосипедов, которые обслуживали 6,5 тысяч велосипедов. Этой весной к ним добавится 67 новых станций проката и 1000 новых велосипедов, половина из которых - электрические.

Вместе с ростом рынка аренды самокатов, растет и число пользователей приложений для аренды все больше. Роскачество оценило информационную безопасность таких приложений и предупредило о рисках.

При проверке кикшеринговых и велопрокатных сервисов на информационную безопасность Роскачество совместно с юристами из АНО «ПравоРоботов» также проанализировало их политики конфиденциальности. Всего было изучено 68 приложений (по 34 для iOS и Android). В исследование попали приложения, которые на момент тестирования предоставляли возможность аренды микромобильного транспорта, при этом изучались как работающие в столице, так и региональные сервисы.

Все изученные сервисы аренды велосипедов, кроме двух, имеют доступ в приложение по одноразовым SMS-кодам, что повышает надежность и исключает риск того, что под сторонней учетной записью велосипед или самокат будут арендовать другие люди. Более низкий уровень безопасности продемонстрировали только сервисы «ВелоБайк - городской велопрокат Москвы» и «Велобайк Мультигорода». Эти приложения присылают разовый логин и PIN-код, который не меняется со временем.

Также эксперты выяснили, что расширенные данные запрашивает 21% всех приложений. В частности, приложения Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Берисамокат, Bike&Go требуют имя и фамилию.

Наибольшее количество избыточных доступов было зафиксировано у BusyFly: осуществление телефонных вызовов, отключение спящего режима, а также запуск при включении устройства. BikeMe осуществляет поиск аккаунтов на устройстве, а ScooBe‪e запрашивает разрешение на показ поверх всех окон - это один из самых потенциально опасных доступов.  

Ни одно из приложений, которые исследовали эксперты, кроме Whoosh, не позволяет удалить свой аккаунт при помощи реализованной в программе функции.

В ходе исследования специалисты Роскачества анализировали данные, которые передают приложения, перехватывая трафик с использованием специализированного ПО. У трех приложений системные данные о геолокации передаются в открытом доступе: «lite – ride here, ride now», «Зеленый город» и «Matur.city».

Согласие пользователя на передачу и обработку своих данных является важнейшим принципом при предоставлении современных онлайн-услуг. В том или ином виде запрашивается согласие у всех 100% исследованных приложений, но именно активное согласие запрашивают только 24%.

Наиболее значимая и распространенная потенциальная уязвимость — это использование незащищённого протокола HTTP (у 90% приложений на Android), с ней схожа небезопасная собственная реализация SSL (у 34%).

Политики конфиденциальности всех приложений получили достаточно высокие оценки. Из недостатков - не все приложения указывают в документе информацию о хранении данных на территории РФ – она отсутствует у 9% приложений, среди них можно отметить MOLNIA, VEZU и Red Wheels.

Никита Куликов, генеральный директор АНО «ПравоРоботов»:

«Пользователи любых сервисов должны осознавать, что все их действия с приложениями, даже такие незначительные как разблокировка велосипеда или самоката, имеют свой цифровой след и определенные последствия. Так, почти все приложения делятся вашими данными с третьими лицами, пусть и обезличенными. В любом случае пользователю следует придерживаться общих принципов безопасности: следить за доступами, которые требует приложение, указывать только необходимый минимум данных о себе. Не следует отправлять сканы документов или привязывать платежные данные к подозрительным приложениям, в надежности которых пользователь не уверен».

«В целом риск при использовании приложений велопроката маловероятен, и приложения от крупных игроков данного рынка рекомендуются Роскачеством к использованию. Будьте, однако, осторожны при скачивании приложений малоизвестных сервисов и  всегда обращайте внимание на доступы, которые требуются при установке. При выборе сервиса имейте в виду, что они предоставляют свои зоны покрытия и парковки, что важно при планировании маршрута», – рекомендует руководитель Центра цифровой экспертизы Роскачества Антон Куканов.

В исследовании оценивались следующие приложения на двух мобильных платформах:

Bike&Go, BikeMe, Bumerang (Lifcar), BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Альметьевск, GreenBee, lite, LuckyBike, Matur.city, MOLNIA, Red Wheels, Rusharing, Samocat Sharing, ScooBe‪e, Seagull, Shark Sharing, SmartBike, toGO, Urent, VEZU, Volt, Whoosh, YES Sharing, ZEVS, «Берисамокат», «ВелоБайк», «Велобайк Мультигород‪а», «Зеленый город», «Карусель», «Ситимобил».