Preučili smo osem aplikacij za izposojo koles in 27 aplikacij za souporabo koles na obeh mobilnih platformah: Bike&Go, BikeMe, Bumerang Lifcar , BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Almetyevsk, GreenBee, lite, LuckyBike, Matur.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamokat, VeloBike, Velobike Multi-City, Green City, Carousel, CityMobile.
Koliko koles in skuterjev za izposojo je v Rusiji??
Trg najema skuterjev v Rusiji hitro raste. Do konca leta naj bi se povečal za 300 %: 10 milijard v Euroljih. Če na začetku leta 2023 v Rusiji ni bilo več kot 10 tisoč skuterjev, jih je po podatkih iz aprila letos med vsemi operaterji Kikscheringa že približno 85 tisoč, in to ni meja. Velika podjetja, kot so Yandex, mail, MTS in Sberbank, so izrazila namero, da bodo vlagala v storitve mikromobilnega prometa. Storitvi Urent in Whoosh predstavljata veliko večino prevozov – približno 60.000 skuterjev.
Trg izposoje koles raste počasneje: jeseni 2023 je v Ljubljani delovalo 662 izposojevalnic koles, ki so ponujale 6,5 tisoč koles. Letos spomladi bodo dodali 67 novih postaj za izposojo in 1.000 novih koles, od katerih bo polovica električnih. To je že primerljivo z mesti, kot sta London 18.000 ali New York 8.000 . Letos se je sezona izposoje koles začela mesec dni prej kot običajno, v začetku aprila. Moskovski oddelek za promet je to pojasnil z dejstvom, da je v pandemičnem letu storitev izposoje koles prek aplikacije postala zelo priljubljena med prebivalstvom več kot 8 milijonov potovanj .
Medtem ko prometna policija beleži porast števila nesreč, v katere so vključena vozila za mikro mobilnost, vlada razmišlja o izenačitvi skuterjev z vozili, da bi omejila hitrosti in posledično zmanjšala število žrtev. Vendar je vse več uporabnikov aplikacij za najem. Roskachestvo ocenjuje informacijsko varnost takšnih aplikacij in opozarja na tveganja.
Večina storitev izposoje koles in souporabe koles deluje po enakem in preprostem sistemu:
– Prenesti je treba mobilno aplikacijo in opraviti postopek registracije.
– izberete način plačila in tarifo, če jo storitev omogoča.
– Poiščite najbližjo bazo ali skuter na zemljevidu.
– Približajte se vozilu in ga aktivirajte v skladu z navodili iz dodatka.
Pri testiranju storitev kickshare in bikeshare glede informacijske varnosti je Roskatchestvo skupaj s pravniki podjetja PravoRobot analiziral tudi njihove politike zasebnosti. Preučili smo 68 aplikacij po 34 za iOS in Android . Študija je vključevala aplikacije, ki v času testiranja zagotavljajo možnost najema mikro mobilnega prevoza, zajela pa je tako storitve, ki delujejo v glavnem mestu, kot tudi regionalne storitve.
Varnost aplikacij je bila ocenjena na podlagi osmih meril:
Zahteva po minimalnih podatkih o uporabniku
● Zahtevanje potrebnih dovoljenj
Varen prenos podatkov o aplikacijah
● Varen prenos uporabniških podatkov
● Soglasje za obdelavo in shranjevanje podatkov
Povezava do pravilnika o zasebnosti
● Zahtevnost gesla
● brisanje računa
Aplikacije za Android so bile preverjene tudi glede morebitnih ranljivosti z analizatorjem ranljivosti Solar appScreener. Velik del aplikacij ima podobno arhitekturo, pri kateri se spreminjata le zasnova in vsebina.
Zahtevnost gesla
Vse preučene storitve izposoje koles, razen dveh, imajo dostop do aplikacije prek enkratnih kod SMS, kar povečuje varnost in odpravlja tveganje, da bi druge osebe izposojale kolo ali skuter pod računom tretje osebe. Samo VeloBike Moscow City CycleRent in VeloBike Multi-City sta pokazala nižjo stopnjo varnosti. Te aplikacije vam bodo poslale enkratno prijavo in kodo PIN, ki se sčasoma ne spreminja. Ko se je naučil uporabniškega imena in gesla, lahko vsiljivec potencialno uporabi storitev v lastne namene, na primer za vožnjo na račun tuje povezane kartice ali celo za krajo vozil, nakar bo storitev postavila vprašanja lastniku računa: ta bo moral dokazati, da ni bil kriv. Če na primer kolesa ne vrnete po 48 urah najema,
“● Velobike lastniku računa izreče globo v višini 30 tisočakov. Podobne sankcije so bile uvedene tudi za druge aplikacije za prevoz potnikov.
Zahtevanje le minimalnih zahtevanih podatkov o uporabniku
Ob prijavi v spletno storitev izposoje koles praviloma vnesemo najmanj osebnih podatkov, vendar se v primeru storitve izposoje razširjeni podatki zahtevajo v 21 % vseh vlog. Aplikacije Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamocat in Bike&Go zahtevajo zlasti ime in priimek. E-motion je bila edina aplikacija, ki je ob registraciji zahtevala fotografijo potnega lista ali vozniškega dovoljenja vendar je mogoče ta korak ob registraciji preskočiti brez vidnih posledic .
Zahteva le potrebne odobritve
Informacijska varnost aplikacije je v veliki meri odvisna od njene dostopnosti. Za popolnoma funkcionalno aplikacijo za najem mikro mobilnega telefona sta potrebna le dva podatka: zahteva za lokacijo in dostop do kamere za skeniranje kode QR . Vsi drugi dostopi v okviru študije so bili obravnavani kot nepotrebni. BusyFly ima največ redundantnih dostopov: opravljanje telefonskih klicev, izklop načina mirovanja in zagon ob vklopu naprave. BikeMe išče račune v napravi, ScooBee pa zahteva dovoljenje za prikaz nad vsemi okni, kar je eden od potencialno najnevarnejših dostopov. 85 % analiziranih aplikacij za Android ne zahteva pretiranega dostopa, v sistemu iOS pa je ta številka zaradi posebnosti samega operacijskega sistema še višja.
Brisanje računa
Nobena od aplikacij, ki so jih preučili strokovnjaki, razen programa Whoosh, ne omogoča izbrisa računa s funkcijo, ki je vgrajena v program. To lahko storite tako, da se obrnete na službo. Enajst razvijalci storitev obljubil Roskachevo dodati možnost izbrisa računa v prihodnjih posodobitvah.
Varnost prenosa podatkov
Med raziskavo so strokovnjaki Roskatchestva analizirali podatke, ki so jih posredovale aplikacije za prestrezanje prometa s pomočjo specializirane programske opreme. Tri aplikacije imajo sistemske podatke o geolokaciji v javni domeni: “lite – ride here, ride now”, “Green City” in “Matur.mesto”. Uporablja se lahko za sledenje trenutni lokaciji uporabnika, vendar oseba najpogosteje predloži svoje geolokacijske podatke med najemom skuterja ali kolesa na prostem. S tem se zmanjša tveganje, da bi vsiljivec vstopil v kanal in manipuliral s prenesenimi podatki. Še pomembneje je, da so vse aplikacije dokazale varen prenos uporabniških podatkov. To pomeni, da bodo osebni in plačilni podatki pri uporabi aplikacij, ki jih preiskuje Roskachevo, varni.
Soglasje za obdelavo in shranjevanje podatkov
Privolitev uporabnika v prenos in obdelavo njegovih podatkov je bistveno načelo za zagotavljanje sodobnih spletnih storitev. 100 % analiziranih aplikacij zahteva neke vrste soglasje, aktivno soglasje pa zahteva le 24 %.
Ranljivosti v spletnih aplikacijah za izposojo skuterjev in koles
Strokovnjaki so ocenili tudi morebitne ranljivosti in nedokumentirane funkcije aplikacij z uporabo specializirane programske opreme Solar appScreener. Najpomembnejša in najbolj razširjena potencialna ranljivost je uporaba nezanesljivega protokola HTTP pri 90 % aplikacij za Android , podobno kot nezanesljiva implementacija protokola SSL pri 34 % aplikacij . Poizvedbe po zbirki podatkov SQLite so bile odkrite v 22 % aplikacij, poizvedbe DNS pa v 82 % aplikacij. Šifrirni algoritem v večini aplikacij je dobro izveden in le 12 % anketiranih aplikacij kaže potencialne ranljivosti.
Daniil Černov, direktor centra Solar appScreener pri družbi Rostelecom Solar.
“Mobilne aplikacije za izposojo koles in skuterjev z nizko stopnjo varnosti lahko ogrozijo velike količine občutljivih podatkov uporabnikov. To so lahko ime in priimek potnika, telefonska številka, e-pošta, geografska lokacija, številka bančne kartice itd. Razvijalci so odgovorni za zaščito teh podatkov. Priljubljene storitve v Rusiji so pokazale visoko raven varnosti. Ne smemo pozabiti, da vsaka nova različica aplikacije zahteva analizo kakovosti kode in njene varnosti.”
Pravna ocena
Politike zasebnosti vseh aplikacij so prejele precej visoke ocene. Pomanjkljivost je, da vse aplikacije v svojem dokumentu ne navajajo informacij o shranjevanju podatkov v Rusiji – 9 % aplikacij tega nima, med njimi MOLNIA, VEZU in Red Wheels. Razvijalec mora v politiko vključiti tudi vse identifikatorje tretjih oseb, vključno z njihovim imenom TIN ali PSRN, vendar ti podatki manjkajo v 53 % primerov. Bike&Go in GoBike omogočata čezmejni prenos osebnih podatkov. Pri storitvah GreenBee, Green City in Seagull je lastnik vseh osebnih podatkov, pridobljenih pri uporabi storitve, IP. Bike&Go uradno prepoveduje uporabo izposojenega kolesa kot premoženjskega vložka v poslovna partnerstva in podjetja.
Nikita Kulikov, izvršni direktor podjetja PravoRobotov
“Uporabniki vseh storitev se morajo zavedati, da imajo vsa njihova dejanja z aplikacijami, tudi tako majhna, kot je odklepanje kolesa ali skuterja, digitalni odtis in določene posledice. Skoraj vse aplikacije delijo vaše podatke s tretjimi osebami, čeprav anonimno. V vsakem primeru mora uporabnik upoštevati splošna varnostna načela: paziti na dostop, ki ga zahteva aplikacija, vnesti le minimalne zahtevane podatke o sebi. “Sumljivim aplikacijam, o katerih zanesljivosti uporabnik ni prepričan, ne smete pošiljati skeniranih dokumentov ali vezanih plačilnih podatkov.”.
Anton Kukanov, vodja digitalnega strokovnega centra družbe Roskatchestvo, deli ugotovitve študije:
“Raziskane aplikacije za izposojo koles in skuterjev so večinoma izvedene po visokih standardih in so enako varne. Nobena od pripomb, ki jih je mogoče podati na njihovo analizo, ne vpliva na neposredno uporabniško izkušnjo. Opozoriti je treba le na to, da bi bilo teoretično mogoče prijavno kodo in kodo PIN, ki se s časom ne spreminja, uporabiti za nepooblaščen dostop.”.
Sklepi in priporočila
Preučevane aplikacije za izposojo koles in skuterjev se večinoma izvajajo na visoki ravni. Skoraj nobena od ugotovitev, ki jih je mogoče podati na podlagi analize, ne vpliva na neposredno uporabniško izkušnjo. Edina nekritična točka, na katero je vredno biti pozoren glede na obseg storitve , je, da se sčasoma ne spreminjata prijava in PIN-koda, ki se teoretično lahko uporabljata za nepooblaščen dostop mestni najem koles Ljubljana in njegova različica “Multigorod” . Vse aplikacije so se izkazale za enako varne in ni bilo ugotovljenih nobenih nevarnih aplikacij.
Na splošno je tveganje uporabe aplikacij za izposojo koles in skuterjev malo verjetno. Roskachevo priporoča uporabo aplikacij glavnih akterjev na tem trgu. Vendar bodite previdni pri prenašanju aplikacij iz malo znanih storitev in v vsakem primeru bodite pozorni na dostope, ki jih zahtevajo pri namestitvi. Pri izbiri storitve imejte v mislih, da zagotavlja lastno pokritost in parkirišča, kar je pomembno pri načrtovanju poti.
Katera aplikacija za najem koles in skuterjev je najbolj priporočljiva glede na raziskavo, ki jo je izvedlo Roskachestvo?
Ali so te aplikacije na voljo tudi v Sloveniji? So že preverili učinkovitost teh aplikacij pri najemu koles in skuterjev? Katera aplikacija je najbolj priporočljiva glede na rezultate raziskave Roskachestvo? Hvala za odgovor.