Примерное время чтения: 9 минут
131

Названы главные уязвимости приложений для аренды самокатов и велосипедов

Густаво Зырянов / "АиФ-Новосибирск"
Томск, 3 июня - Аиф-Томск.

Рынок аренды самокатов в России стремительно растет. До конца года прогнозируется его увеличение на 300%: в рублях это 10 миллиардов. Если в начале 2020 в России было не больше 10 тысяч самокатов, то по данным на апрель этого года на всех операторов кикшеринга приходится уже около 85 тысяч, и это не предел. Намерения инвестировать в сервисы  микромобильного транспорта  высказали такие крупные компании, как Яндекс, mail.ru, МТС и Сбербанк. Абсолютное большинство транспорта - около 60 тысяч самокатов - приходится на долю сервисов Urent и Whoosh. 

Рынок аренды велосипедов развивается медленнее: осенью 2020 года в Москве работали 662 пункта проката велосипедов, которые обслуживали 6,5 тысяч велосипедов. Этой весной к ним добавится 67 новых станций проката и 1000 новых велосипедов, половина из которых - электрические. Это уже сопоставимо с такими городами, как Лондон (18 тысяч) или Нью-Йорк (8 тысяч).  В этом году сезон велопроката начался на месяц раньше обычного, в первых числах апреля. Дептранс Москвы объяснил это тем, что в год пандемии услуга проката велосипеда через приложение стала очень востребованной у населения (более 8 миллионов поездок).  

Пока ГИБДД фиксирует рост количества аварий с участием микромобильного транспорта, правительство рассматривает возможность приравнять самокаты к транспортным средствам, чтобы ограничить скорость и, как следствие, уменьшить число жертв. Однако пользователей приложений для аренды все больше. Роскачество оценило информационную безопасность таких приложений и предупредило о рисках. 

Как пользоваться сервисами аренды велосипедов и самокатов? 

Большинство сервисов велопроката и кикшеринга работают по одинаковой несложной схеме: 

• Нужно скачать мобильное приложение и пройти процесс регистрации. 

• Выбрать способ оплаты и тариф, если это предусмотрено в сервисе. 

• Найти на карте ближайшую базу или самокат. 

• Подойти к транспортному средству и активировать его, следуя инструкции в приложении. 

При проверке кикшеринговых и велопрокатных сервисов на информационную безопасность Роскачество совместно с юристами из АНО «ПравоРоботов» также проанализировало их политики конфиденциальности. Всего было изучено 68 приложений (по 34 для iOS и Android). В исследование попали приложения, которые на момент тестирования предоставляли возможность аренды микромобильного транспорта, при этом изучались как работающие в столице, так и региональные сервисы. 

Безопасность приложений оценивалась по восьми критериям: 

● Запрос минимально необходимых пользовательских данных  

● Запрос необходимых разрешений  

● Безопасность передачи данных приложения 

● Безопасность передачи пользовательских данных 

● Согласие на обработку и хранение данных  

● Ссылка на политику конфиденциальности 

● Сложность пароля  

● Удаление аккаунта 

Приложения для Android также были проверены на наличие потенциальных уязвимостей с помощью анализатора уязвимостей Solar appScreener. Значительная часть приложений имеет схожую архитектуру, где меняется только дизайн и контент. 

Сложность пароля  

Все изученные сервисы аренды велосипедов, кроме двух, имеют доступ в приложение по одноразовым SMS-кодам, что повышает надежность и исключает риск того, что под сторонней учетной записью велосипед или самокат будут арендовать другие люди. Более низкий уровень безопасности продемонстрировали только сервисы «ВелоБайк - городской велопрокат Москвы» и «Велобайк Мультигорода». Эти приложения присылают разовый логин и PIN-код, который не меняется со временем. Узнав логин и пароль, злоумышленник может потенциально использовать сервис в своих целях, например, ездить за счет чужой привязанной карты или даже украсть транспорт, после чего вопросы у сервиса будут именно к владельцу учетной записи: ему придется доказывать, что он не виноват. Например, если велосипед не сдан после 48 часов аренды, «Велобайк» выписывает владельцу учетной записи штраф в 30 тысяч рублей. Аналогичные санкции предусмотрены и у других приложений велопроката. 

Запрос только минимально необходимых пользовательских данных  

Как правило, при авторизации в сервисе онлайн-проката велосипедов мы стремимся вводить абсолютный минимум своих персональных данных, но в случае с сервисом проката расширенные данные запрашивает 21% всех приложений. В частности, приложения Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Берисамокат, Bike&Go требуют имя и фамилию. E-motion оказалось единственным приложением, которое попросило при регистрации фото паспорта или водительского удостоверения (впрочем, этот шаг можно пропустить при регистрации без видимых последствий). 

Запрос только необходимых разрешений 

Информационная безопасность приложения во многом определяется его доступами. Для полноценной работы приложения аренды микромобильного транспорта необходимы только два: запрос местоположения и доступ к камере (чтобы отсканировать QR-код). Все остальные доступы в рамках исследования принимались за избыточные. Наибольшее количество избыточных доступов было зафиксировано у BusyFly: осуществление телефонных вызовов, отключение спящего режима, а также запуск при включении устройства. BikeMe осуществляет поиск аккаунтов на устройстве, а ScooBee запрашивает разрешение на показ поверх всех окон‬‬‬‬ - это один из самых потенциально опасных доступов.‬‬‬‬‬‬‬ 85 % проанализированных приложений на платформе Android избыточный доступ не запрашивают, на IOS эта цифра еще выше в силу особенностей самой операционной системы. ‬‬‬‬‬‬ 

Удаление аккаунта  

Ни одно из приложений, которые исследовали эксперты, кроме Whoosh, не позволяет удалить свой аккаунт при помощи реализованной в программе функции. Однако, это можно сделать, обратившись в службу поддержки сервисов. Разработчики сервиса Eleven пообещали Роскачеству добавить возможность удаления аккаунта в ближайших обновлениях. 

Безопасность передачи данных 

В ходе исследования специалисты Роскачества анализировали данные, которые передают приложения, перехватывая трафик с использованием специализированного ПО. У трех приложений системные данные о геолокации передаются в открытом доступе: «lite – ride here, ride now», «Зеленый город» и «Matur.city». При желании таким образом можно отследить текущее местонахождение пользователя, однако чаще человек отправляет данные о своей геолокации в момент взятия в аренду самоката или велосипеда, находясь под открытым небом. Это минимизирует риск того, что злоумышленник встроится в канал и сможет манипулировать передаваемыми данными. Более важно, что все приложения продемонстрировали безопасную передачу данных пользователя. Значит, персональные и платежные данные при использовании приложений, исследованных Роскачеством, будут в безопасности. 

Согласие на обработку и хранение данных  

Согласие пользователя на передачу и обработку своих данных является важнейшим принципом при предоставлении современных онлайн-услуг. В том или ином виде запрашивается согласие у всех 100% исследованных приложений, но именно активное согласие запрашивают только 24%.  

Уязвимые места в приложениях онлайн-проката самокатов и велосипедов 

Специалисты также провели оценку потенциальных уязвимостей и недокументированных возможностей приложений при помощи специализированного ПО «Solar appScreener». Наиболее значимая и распространенная потенциальная уязвимость — это использование незащищённого протокола HTTP (у 90% приложений на Android), с ней схожа небезопасная собственная реализация SSL (у 34%). Внедрение в запрос к базе данных SQLite зафиксировано у 22%, обращение к DNS у 82% приложений. Алгоритм шифрования у большинства приложений реализован хорошо, потенциальные уязвимости выявлены только у 12% рассмотренных приложений. 

«Мобильные приложения для аренды велосипедов и самокатов с низким уровнем защищенности способны поставить под удар большой объем чувствительных данных о пользователе. Это могут быть ФИО, номер телефона, email, геолокация, номер банковской карты и другое. Защита этих сведений входит в зону ответственности разработчиков. Исследуемые популярные в России сервисы показали высокий уровень защищенности. При этом не стоит забывать, что каждая новая версия приложения требует анализа качества программного кода и его защищенности, — рассказывает Даниил Чернов, директор центра Solar appScreener компании «Ростелеком-Солар».  

Правовая оценка 

Политики конфиденциальности всех приложений получили достаточно высокие оценки. Из недостатков - не все приложения указывают в документе информацию о хранении данных на территории РФ – она отсутствует у 9% приложений, среди них можно отметить MOLNIA, VEZU и Red Wheels. Также разработчик обязан указывать в политике все идентификаторы третьих лиц, в том числе их наименование ИНН или ОГРН, но подобные данные отсутствуют в 53% случаев. У Bike&Go и GoBike предусматривается возможность трансграничной передачи персональных данных. У GreenBee, «Зеленого Города» и Seagull правообладателем всей персональной информации, полученной в рамках пользования сервисом, является ИП. А «Велобайк» официально запрещает использовать прокатный велосипед в качестве имущественного вклада в хозяйственные товарищества и общества. 

Как пользователю приложения велопроката  обезопасить свои данные? 

Никита Куликов, генеральный директор АНО «ПравоРоботов» 

«Пользователи любых сервисов должны осознавать, что все их действия с приложениями, даже такие незначительные как разблокировка велосипеда или самоката, имеют свой цифровой след и определенные последствия. Так, почти все приложения делятся вашими данными с третьими лицами, пусть и обезличенными. В любом случае пользователю следует придерживаться общих принципов безопасности: следить за доступами, которые требует приложение, указывать только необходимый минимум данных о себе. Не следует отправлять сканы документов или привязывать платежные данные к подозрительным приложениям, в надежности которых пользователь не уверен».  

Выводами исследования делится руководитель Центра цифровой экспертизы Роскачества Антон Куканов: 

«Исследованные приложения аренды велосипедов и самокатов в большинстве своем реализованы на высоком уровне и признаны в равной степени безопасными. Ни одно из замечаний, которые можно предъявить по результатам их анализа, не влияет на непосредственный пользовательский опыт. Единственный момент, на который стоит обратить внимание – не меняющийся со временем логин и PIN-код, который теоретически можно использовать для постороннего доступа». 

Рекомендации Роскачества 

«В целом риск при использовании приложений велопроката маловероятен, и приложения от крупных игроков данного рынка рекомендуются Роскачеством к использованию. Будьте, однако, осторожны при скачивании приложений малоизвестных сервисов и  всегда обращайте внимание на доступы, которые требуются при установке. При выборе сервиса имейте в виду, что они предоставляют свои зоны покрытия и парковки, что важно при планировании маршрута», – рекомендует Куканов. 

В исследовании оценивались следующие приложения на двух мобильных платформах: 

Bike&Go, BikeMe, Bumerang (Lifcar), BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Альметьевск, GreenBee, lite, LuckyBike, Matur.city, MOLNIA, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, VEZU, Volt, Whoosh, YES Sharing, ZEVS, «Берисамокат», «ВелоБайк», «Велобайк Мультигорода», «Зеленый город», «Карусель», «Ситимобил».‬‬‬‬

Оцените материал
Оставить комментарий (0)

Топ 5 читаемых


Самое интересное в регионах