Roskachevo identificiral nevarne aplikacije za klicanje taksijev

Roskatchestvo’s Digital Expertise Center je izvedel raziskavo 20 najbolj priljubljenih mobilnih aplikacij za naročanje taksijev. Glede na to, da taksi službe zbirajo in hranijo naše osebne in plačilne podatke, bi morale biti z vidika varnosti brezhibne. Dodatno je bila analizirana tudi informacijska varnost več kot 60 malo znanih aplikacij. Žal se ni izkazalo, da so vsi varni.

Od leta 2023 se trg taksijev nenehno razvija in hitro spreminja, leta 2023 pa je več storitev, vključno z Vesetom in Rutaxijem, ki ju je prej analiziral Roskachevo, prevzel Yandex, s čimer je povečal svoj skupni delež in postal absolutno vodilni na področju prisotnosti 40 % skupno, 67 % med agregatorji, po podatkih Forbesa iz septembra 2023 .

Da bi ugotovili, kako funkcionalne, kakovostne in varne so aplikacije za naročanje taksijev, je Roskatchestvo preizkusil 20 aplikacij: po 10 za iOS in Android. Pravniki PravoRobotov pa so preučili politike zasebnosti storitev, da bi preverili, ali so v skladu z zveznim zakonom “O osebnih podatkih” št. 152-FZ z dne 27.07.2006 ter izpostavil negativne in pozitivne vidike, na katere morajo biti uporabniki pozorni.

Sergej Bodrov, vodja centra Roskachevo za digitalno znanje.

“Med študijo so strokovnjaki uporabljali aplikacije kot običajni uporabniki: naročali so taksije in se vozili po mestu, analizirali delovanje in funkcionalnost aplikacije, dodajali naslove med priljubljene in želje za naročila, preučevali profile voznikov informacije o voznikih, avtomobilih, prevozniškem podjetju in izdelali druge tipične scenarije uporabe. Poleg tega je bila varnost aplikacij preizkušena z namensko programsko opremo. Tako so bile preizkušene vse ključne funkcije ter ocenjene uporabnost, informacijska varnost ter zmogljivost in zanesljivost aplikacij za naročanje taksijev.”

Vodilna aplikacija Yandex Go ostaja nespremenjena, Taxoviccof izgublja, Citimobile pa izboljšuje svoj položaj in je zdaj na tretjem mestu na obeh platformah iOS in Android .

Glede na rezultate testa so najbolj funkcionalne aplikacije Yandex Go, Taxovichkof na obeh platformah in Uber na Androidu ter Citimobile na iOS. Najbolj priročne aplikacije glede na rezultate raziskav – “Yandex Go”, “Taxovichkof” in maksimum na Androidu ter “Taxovichkof” in maksimum na iOS. Kar zadeva informacijsko varnost, so vse priljubljene aplikacije dosegle dobre rezultate – večina je prejela 3,5 točke ali več. Nekatere aplikacije za Android so bile znižane, ker so imele “sledilnike” podatkov uporabnikov.

Pri vseh udeležencih v raziskavi je večina funkcij izvedena na visoki ravni. Vendar Gett in DiDi ne omogočata klicanja taksija brez predhodne navedbe naslova, vse aplikacije pa ne prikazujejo razdalje od avtomobila do uporabnika: Pohodeli, Taxovychkof in maxim nimajo te funkcije. DiDi v različici za Android ne prikazuje stavb na zemljevidu. Samo Taxoviccof, Yandex.Go, CityMobile in Uber lahko znova izberejo naslov nedavnega potovanja.

Naslednja pomembna točka za uporabnika po izbiri avtomobila in dodelitvi vozila je profil voznika in vozila. Strokovnjaki so ocenili, ali so ime voznika, njegova fotografija in ocena, podatki o vozilu, podatki o prevoznem podjetju, datum registracije voznika v taksi službi.

Tako kot v prejšnji študiji se tudi v tem primeru med aplikacijami še vedno pojavljajo velike razlike v obsegu, v katerem je voznikov profil zapolnjen, od praktične odsotnosti voznikovega profila v aplikacijah Poholy, Omega in TapTaxi do popolnoma informativne kartice s fotografijo v aplikacijah Yandex Go, DiDi in Gett.

Naslednja pomembna skupina meril za uporabnika so potovalne želje. Če ima uporabnik majhnega otroka, težko prtljago ali hišnega ljubljenčka, je prisotnost ustreznih filtrov zelo pomembna. Kot kaže raziskava, je pomanjkanje takšnih filtrov v nekaterih aplikacijah še vedno težava. DiDi, Gett, TapTaxi in Uber imajo najmanj možnosti za prijavo vožnje.

Poleg tega je bila ocenjena prisotnost gumba SOS: Omega, Let’s go, Yandex Go in maxim ter DiDi in Citimobile ga imajo. Ta funkcija vam omogoča, da z enim samim dotikom pokličete številko 112 ali sporočite svojo lokacijo zaupanja vrednim stikom. Ta funkcija je lahko za nekatere ljudi ključnega pomena pri izbiri storitve.

V primerjavi s prejšnjo raziskavo je možnost dodajanja gonilnika na črni seznam postala bolj priljubljena večina jih to stori prek storitve podpore, obstajajo pa tudi taki, ki omogočajo neposredno blokiranje gonilnika . Prikaz ocene uporabnika podobno kot ocena voznika je bil obravnavan brez ocene, le Yandex Go jo ima na voljo za potnike. Citimobile ima podobno pomembno raven uporabniškega računa.

Strokovnjaki so pri preverjanju varnosti aplikacij ocenili, ali storitev zahteva le minimalne zahtevane podatke in dovoljenja uporabnika ter ali lahko uporabnik izbriše račun. Varnost prenosa podatkov o aplikacijah in uporabnikih je bila analizirana ločeno. Strokovnjaki so s posebno programsko opremo Wireshark zajeli ves promet, ki ga pošilja aplikacija, in ga analizirali za iskanje nešifriranih podatkov. Vse aplikacije so uspešno prestrezale promet – ranljivosti niso bile ugotovljene.

Uvedeno je bilo tudi novo merilo: prisotnost analitičnih sledilnikov, ki zbirajo informacije o uporabniku. Razvijalci jih dodajo z dobrimi nameni – da analizirajo vedenje uporabnikov in te informacije uporabijo pri razvoju aplikacije. Brezplačni sledilniki velikih korporacij npr. Facebook ali Google pa prinašajo dodatna varnostna tveganja: brez potrebe po vnosu uporabnika IT velikani prejmejo statistične podatke. Zato je bila prisotnost takšnih sledilnikov v študiji obravnavana kot slabost. V aplikacijah za iOS takih modulov ni bilo, medtem ko so aplikacije za Android pri tem merilu dosegle slabše rezultate.

60 % aplikacij ima vezavo kartic prek 3-D Secure. Ta koda je poslana s sporočilom SMS in je potrebna, da storitev preveri, ali kartica res pripada vam. Teoretično lahko napadalci, če je ni, povežejo tujo kartico s svojim računom in nato opravijo plačila z ukradeno kartico ali preprosto preberejo njene podatke.

Poleg tega so strokovnjaki Roskatchestvo testirali vse aplikacije za Android z analizatorjem Solar appScreener za ranljivosti in VAS z uporabo tehnologije samodejne binarne analize, brez povratnega inženiringa dekompilacija izvorne kode . Ugotovljene so bile naslednje potencialne ranljivosti: naslavljanje DNS v 50 % primerov, nezanesljiv odsev v 30 % pregledanih aplikacij, nezanesljivo izvajanje izvirnega protokola SSL v 20 % primerov. V 80 % ocenjenih aplikacij je bil uporabljen šibek algoritem hashinga, v 70 % pa nezanesljivi protokoli HTTP. Implementacija poizvedb v zbirki podatkov SQLite – 20 %.

Poleg 20 znanih aplikacij, ki so bile vključene v študijo, so strokovnjaki preverili tudi varnost 63 manj priljubljenih aplikacij: 36 v sistemu Android in 27 v sistemu iOS.

Na platformi iOS so bili odprto posredovani samo geolokacijski podatki uporabnikov, pri čemer je bilo ugotovljeno, da je bilo vpletenih 6 aplikacij, med njimi NonStop: storitev naročanja taksijev; Taxi Pobeda; DA TAXI Tyumen in Taxi Variant. Za Android je stanje slabše – strokovnjaki so na primer odkrili 2 aplikaciji: SV-TAXI. Taxi Call” in “UpTaxi vsa mesta “, ki razen zgoraj omenjenih geolokacijskih podatkov, posredovanih v javni domeni, in osebnih podatkov uporabnikov. telefonska številka v enem primeru ter poverilnice telefonska številka in geslo in model naprave v drugem primeru. Ta ranljivost lahko poleg neposrednega ogrožanja podatkov privede tudi do novih napadov goljufov na uporabnike.

Ugotovljeno je bilo tudi, da tri aplikacije za Android prenašajo nešifrirane geolokacijske podatke uporabnikov, in sicer “Order GOST Taxi”, “My City” in Taxi Saturn+”. Tako kot v primeru sistema iOS je ta ranljivost, čeprav ni kritična, nezaželena z vidika digitalne varnosti.

Poseben problem na platformi Android je pretiran ali skrit dostop do aplikacij, ki aplikacijam omogoča skrite funkcije, v nekaterih primerih pa so lahko celo zlonamerne. Tako ima 17 od 36 aplikacij za Android dostop do podatkov o stanju telefona, 8 od 36 aplikacij ima dostop do pregledovanja stikov in 6 od 36 aplikacij ima dostop do telefonskih klicev.

Med aplikacijami, pri katerih so bili zahtevani vsi našteti odvečni dostopi, lahko omenimo “SV-TAXI. Klic Taxi, Taxi Nam Puti in Faem.Taxi. Roskatchestvo ne priporoča prenosa takšnih aplikacij.

Preverjanje, ali so politike zasebnosti aplikacij za naročanje taksijev v skladu z zakonom “O osebnih podatkih” št. 152-FZ z dne 27.07.2006 so izvedli pravniki PravoRobotov, avtonomne neprofitne organizacije. Na splošno so se vse pregledane aplikacije s pravnega vidika dobro odrezale, saj so prejele 4 točke ali več. Izjema je bil Taxovichkof, katerega aplikacija v času raziskave ni imela povezave do politike zasebnosti. V času objave težava še ni bila odpravljena. Kljub temu vse storitve, razen Taxovitchkof, posredujejo podatke povezanim tretjim osebam.

Življenjsko in zdravstveno zavarovanje potnikov v potniških taksijih je že nekaj let pod vse večjim drobnogledom vladnih organov in širše javnosti. V okviru raziskave so Roskatchestvo in odvetniki iz PravoRobotov analizirali podatke o zavarovanju v ustreznih aplikacijah. Le tri od njih “Citimobile”, “Yandex.Taxi” in Gett storitev samodejno zavaruje potnika med potovanjem, pri čemer je zavarovanje potnikov preneseno na tretjo osebo. Druge storitve na tak ali drugačen način prelagajo odgovornost za nujne primere na ramena voznika in/ali potnika in prisilijo, da se strinjajo, da prevoznik dejansko “ne opravlja prevoznih ali logističnih storitev” in ne sprejema zahtevkov vključno s takšnim besedilom storitve Uber, ki je v lasti podjetja Yandex .

Stanislav Shvagerus, vodja kompetenčnega centra, Mednarodni evrazijski taksi forum.

“V Slovenščina federaciji je zavarovanje potnikov prostovoljno in je dejansko konkurenčna prednost agregatorja na trgu. Vendar pa je prostovoljna narava takšnega zavarovanja povezana s precejšnjimi tveganji za potnike v taksiju. Medtem ko je v obveznem zavarovanju jasno opredeljen postopek plačila, je znesek zavarovalne dajatve opredeljen tako v zakonu o zavarovanju kot v členu 34 “odgovornost prevoznika” Zveznega zakona z dne 8. novembra 2007. N 259-fz “Statut avtomobilskega prometa in mestnega zemeljskega električnega prometa”, potem se v primeru prostovoljnega zavarovanja odgovornosti agregatorjev ta postopek in znesek plačil določita s sporazumom med zavarovalnico in agregatorjem. Zato so zneski dejanskih odškodnin za življenje in zdravje potnikov v potniškem prometu izredno nizki.”

Posebnost so tako imenovani agregatorji druge stopnje, ki še niso zavarovali svoje odgovornosti ali organizirali “skladov za izplačilo”. Takšni agregatorji v svojih notranjih predpisih običajno navedejo, da “ne odgovarjajo za javno pogodbo o prevozu s taksijem, ki jo sklenejo, in da vso odgovornost do potnika nosi voznik taksija”. Ti agregatorji so spregledali, da v skladu s členom 37 “Neveljavnost sporazumov” zveznega zakona z dne 8. novembra 2007. N 259-FZ “Statut motornega prometa in mestnega zemeljskega električnega prometa”, so takšni dokumenti neveljavni.

Sodna praksa na področju odškodnin za škodo, povzročeno potnikom potniških taksijev na življenju in zdravju, je obsežna in obsega množično priznavanje odgovornosti taksi agregatorjev za škodo, povzročeno potnikom potniških taksijev na podlagi pogodbe o najemu potniškega taksija. Ugotovite, ali vaša priljubljena taksi služba izpolnjuje vaše varnostne zahteve in spoštuje zakonodajo?

Študija je bila izvedena v skladu s testno metodologijo, ki temelji na začasnem nacionalnem standardu za primerjalno analizo mobilnih aplikacij PNST 277-2023.