Roskatchestvo’s Digital Expertise Centre je izvedel raziskavo najbolj priljubljenih mobilnih aplikacij za naročanje taksijev. Strokovnjaki ugotavljajo, katere storitve so najvarnejše in najbolj funkcionalne ter zato priporočljive, katere pa je najbolje popolnoma odstraniti iz pametnega telefona.
Po podatkih raziskave Fundacije za javno mnenje iz decembra 2023 je 66 % Rusov v zadnjem letu uporabilo taksi storitve v večjih mestih je ta delež 73 % . 4 % Rusov se s taksijem vozi skoraj vsak dan, 10 % nekajkrat na teden, 22 % nekajkrat na mesec in 29 % nekajkrat na leto. Večina Slovenščinah državljanov 69 % je storitev uporabila in meni, da je varna. Ne glede na to, ali gre za resnično? Roskatchestvo je nazadnje pregledal aplikacije za naročanje mobilnih taksijev decembra 2023. Takrat so imeli strokovnjaki Roskatchestva veliko vprašanj o varnosti mobilnih aplikacij.
Da bi ugotovili, ali so aplikacije za naročanje taksijev funkcionalne, kakovostne in varne, je Roskachevo preizkusil 22 aplikacij, od tega 11 za iOS in Android. Poleg tega so strokovnjaki analizirali nepriljubljene aplikacije za naročanje taksijev, ki niso uvrščene v glavne okvire lestvice glede varnosti. Med več kot 100 tako pregledanimi programi je bilo ugotovljeno, da so negotovi programi.
Prva peterica se letos ni veliko spremenila: vanjo je vstopil Taxovychkof, ki je v zadnji študiji zasedel šele 7. mesto, medtem ko je Uber, “srebrni medalist” leta 2023, nasprotno, izpadel iz vodilnih. Tudi storitev Gett je bila na obeh platformah uvrščena na peto mesto. Yandex Go, Taxovitchkof in Citimobil za Android ter Yandex Go, maxim in Taxovitchkof za iOS so bile priznane kot najboljše aplikacije po vseh merilih.
Strokovnjaki Roskatchestva so med študijo uporabljali aplikacije kot običajni uporabniki: naročali in potovali s taksiji, analizirali delovanje in funkcionalnost aplikacije, dodajali naslove med priljubljene in zahtevke za naročila, preučevali profile voznikov informacije o voznikih, avtomobilih, prevoznem podjetju itd. Dodatno varnostno testiranje aplikacij je bilo izvedeno tudi s specializirano programsko opremo. Raziskava je temeljila na 139 merilih, ki so preverjala vse ključne funkcije, uporabnost, varnost, zmogljivost in zanesljivost aplikacij za naročanje taksijev.
Pri ocenjevanju aplikacij so bili upoštevani poglobljeni pogovori z uporabniki taksijev, ki so jih opravili strokovnjaki družbe Roskachestvo, in semantična analiza več kot 900 ocen v trgovinah App Store in Google Play Market.
Funkcionalnost
Ena od najpomembnejših uporabniških lastnosti vsake mobilne aplikacije je funkcionalnost. Strokovnjaki so preizkusili kartice voznikov in avtomobilov, funkcijo naročanja avtomobila, možnost pustiti želje za potovanje otroci, prtljaga, hišni ljubljenčki itd. , ogled zgodovine, funkcionalnost nastavitev in tako naprej.
Pomanjkljivosti, ki so jih izpostavili strokovnjaki: DiDi ne prikazuje stavb na zemljevidu to je bilo popravljeno v različici, ki je bila izdana po zaključku raziskave , Rutaxi pa ne prikazuje lokacije uporabnika. Gett, DiDi in Bolt ne omogočajo naročila avtomobila za drugo osebo. Didi in Bolt pri naročilu tudi ne omogočata določitve dovozne poti. Gett – edini taksi brez možnosti določitve vmesnih postajališč. Gett, Bolt in Uber ne omogočajo naročila drugega avtomobila. “Pojdimo” in DiDi ne omogočata ogleda zadnjih naslovov. Z vidika kartic sta bila outsiderja Veset in Rutaxi, ki v bistvu nimata vozniške kartice in imata le podatke o vozilu. Manj kot polovica aplikacij vsebuje fotografijo in oceno voznika.
DiDi nima funkcije seznama želja. možnost, da voznika prosite za pomoč pri vstopu, je na voljo le na postajah Maxim, Pogoljadka in Taxoviccof – to je še posebej pomembno za osebe z omejeno mobilnostjo. Prav tako je treba opozoriti, da polovica storitev ne omogoča označitve razpoložljivosti prtljage ali potrebe po prostem prostoru za njeno namestitev.
Med samim potovanjem so bile ocenjene različne funkcionalnosti, ki so potnikom olajšale življenje. Če sta komunikacija z voznikom pred vkrcanjem in obveščanje o prihodu vozila osnovni funkciji v vseh aplikacijah, pa je obveščanje voznika s strani potnika o njegovem odhodu bolj redko le 45 % aplikacij ga ima . Skoraj vse aplikacije, razen aplikacij Citimobile, Gett in Rutaxi, imajo možnost deljenja povezave do potovanja s tretjimi osebami, kar je pomembno za varnost potnikov.
Manj kot polovica aplikacij omogoča spremembo načina plačila med potovanjem, pri ostalih je to mogoče le do trenutka naročila. Najredkejša funkcija v skupini je bil gumb SOS: imajo ga samo Yandex Go, DiDi in Bolt. Z enim samim dotikom lahko pokličete številko 112 ali sporočite svojo lokacijo zaupanja vrednim stikom. Vse storitve, razen “Rutaxi” in “Taxovychkof”, lahko po začetku potovanja spremenijo pot.
Pri aplikacijah za naročanje taksijev smo ocenjevali razpoložljivost vseh načinov plačila gotovina, bančno nakazilo, Google/Apple Pay ter priročnost brezgotovinskega plačila povezava več kartic, samodejno izpolnjevanje podatkov s skeniranjem kartice in možnost določitve višine napitnine pred in po potovanju obe možnosti sta na voljo v 45 % aplikacij . Manj kot polovica aplikacij podpira brezgotovinsko plačevanje s pomočjo storitev tretjih oseb, enako število aplikacij omogoča skeniranje kartice.
Ločeno od drugih funkcij je bila ocenjena možnost uvrstitve določenega voznika na črno listo v aplikaciji samo DiDi v sistemu Android, Yandex Go, Gett in Uber v sistemu iOS . Prikaz ocene uporabnika podobno kot ocena voznika je bil obravnavan kot neocenjen, le Yandex Go ga je omogočil potnikom.
Glede na rezultate testa so najbolj funkcionalne aplikacije v sistemu Android Yandex Go, Taxovitchkof in Poholyadokh, v sistemu iOS pa Yandex Go in Poholyadokh. v sistemu iOS – Yandex Go, Taxoviccof in Gett
Poleg funkcionalnosti so strokovnjaki preverili tudi uporabnost aplikacij. Strokovnjaki so opravili testiranje uporabnosti aplikacij z več kot 180 povprečnimi uporabniki. V študiji so bile uporabnikom dodeljene testne naloge, kot je iskanje možnosti v vmesniku, da pustijo komentar o potovanju ali spremenijo način plačila, njihova dejanja pa so bila analizirana. Tako smo lahko ocenili jasnost in uporabnost vmesnika aplikacije. Uporabniki so se najbolje počutili pri interakciji z aplikacijama Uber in Yandex.Pojdi”.
Samo Yandex je v celoti implementiran v aplikaciji.Pojdi” in Uber obrazec za klepet ali povratne informacije, pomoč pri uporabi storitve, možnost klicanja za pomoč strankam .
Prilagoditev za invalide podpora za dinamične pisave in bralnike zaslona VoiceOver Talkback je v celoti prisotna le v sistemu Taxoviccof, ki temelji na Androidu. Aplikacije za iOS imajo pri tem merilu zaradi tehničnih značilnosti platforme običajno slabšo splošno oceno, le Citimobile je dobil 4 točke.
Vse anketirane aplikacije nimajo vgrajenega oglasnega gradiva, razen aplikacije Taxovichkof, ki ima vgrajeno oglaševanje storitve dostave hrane.
Varnost
Varnost informacij je pri storitvah naročanja taksijev zelo pomembna, saj uporabnik v aplikaciji navede svoje plačilne in v nekaterih primerih tudi osebne podatke. Med raziskavo smo ocenili, ali storitev zahteva le minimalne zahtevane podatke o uporabniku in dovoljenja. Varnost prenosa podatkov aplikacije in uporabniških podatkov je bila analizirana ločeno.
Za preverjanje varnosti prenosa podatkov so strokovnjaki s posebno programsko opremo Wireshark zajeli ves promet, ki ga je pošiljala aplikacija, in ga nato analizirali glede prisotnosti nešifriranih podatkov. Vse različice aplikacij DiDi in Veset, razen različice za Android, so bile uspešne pri prestrezanju prometa: Didi v nešifrirani obliki prenaša slike vsebino aplikacije, Veset pa prenaša koordinate uporabnika in ciljni naslov, kar je veliko bolj resno.
S prestrezanjem teh podatkov lahko goljuf potencialno izsledi pot do ciljnega naslova žrtve in nato te informacije uporabi za ciljno usmerjene napade. Vse aplikacije, razen aplikacij DiDi, Bolt in Uber, imajo vezavo bančne kartice prek sistema 3-D Secure.
Letos so bile vse aplikacije ocenjene kot varne in zanesljive, 73 % storitev za iOS in Android pa je dobilo oceno 4 ali več. DiDi in Bolt na obeh platformah sta bila ocenjena slabše zaradi prevelikih zahtev po podatkih med registracijo.
Poleg tega so strokovnjaki družbe Roskatchestvo vse aplikacije za Android testirali s programom Solar appScreener za ranljivosti z uporabo tehnologije samodejne binarne analize brez povratnega inženiringa dekompilacije izvorne kode .
Tako so bile razkrite naslednje potencialne ranljivosti: nezanesljiva lastna implementacija SSL v 54 %, nezanesljiv odsev v 81 %, uporaba nezanesljivega protokola HTTP v 90 %, šibek algoritem hashiranja v 72 %, šibek šifrirni algoritem v 9 %, vbrizgavanje poizvedb v zbirko podatkov SQLite v 18 %, naslavljanje DNS v 90 %.
Poleg 22 znanih aplikacij, vključenih v raziskavo, so strokovnjaki preverili tudi varnost približno sto drugih, precej manj priljubljenih aplikacij 65 % jih je bilo namenjenih sistemu Android .
V nekaterih aplikacijah, ki jih je Roskačov posebej testiral, so bile najdene “luknje”, ki imajo neprijetne posledice za uporabnike. Najmanj 5 programov je prenašalo koordinate potnikov brez zaščite, v nekaterih primerih so dodali telefonsko številko in model ali celo osebne podatke uporabnika. Obstaja nevarnost, da bi kibernetski kriminalci pridobili te podatke, ki bi jih pozneje lahko uporabili proti žrtvi,” je dejal Anton Kukanov, vodja Roskachevega centra za digitalna znanja.
Nešifrirana telefonska številka v storitvah Taxi Saturn, RED TAXI, UpTaxi, Ordering Taxi GOST je potencialna ranljivost, saj bi napadalec s prestrezanjem podatkov pridobil dostop do njih. Določen model telefona tudi ni zaželen, saj ima vsak model telefona različne ranljivosti, ki jih lahko storilci kaznivih dejanj izkoristijo, če žrtvi. Predvsem za starejše modele pametnih telefonov.
Osebni podatki v družbi Saturn Taxi so skupek telefonske številke in imena, kar so zelo občutljivi podatki. Koordinate X-Scar v najslabšem primeru -TAXI -SV in UpTaxi, Taxi, NonStop, napadalec lahko pridobi koordinate cilja, vendar se na splošno prenesejo koordinate trenutne lokacije. Vse te ranljivosti so lahko vstopna točka v varnostni perimeter aplikacije. Zato ni priporočljivo uporabljati Fi npr. aplikacij, če je telefon povezan z javnim omrežjem Wi-Fi in mobilnega interneta v ta namen. -v restavraciji ali hotelu
Politika zasebnosti
Preveril, ali je politika zasebnosti aplikacij za naročanje taksijev skladna z zakonom o osebnih podatkih št. 152 z dne 27. februarja 2012 .07.2006 so opravili pravniki iz avtonomne neprofitne organizacije PravoRobotov. V tej študiji je ustrezna skupina 17 testnih parametrov predstavljala 10 % končne ocene aplikacije.
Pravniki so analizirali politike glede njihove skladnosti z rusko zakonodajo in aplikacije preverili tudi glede na pomembna merila za uporabnike, kot so pogoji za prekinitev obdelave osebnih podatkov, navedba odgovornih za njihovo zbiranje, strank, ki se jim posredujejo, ter prisotnost glosarja in lokalizacije v ruskem jeziku v uporabniški dokumentaciji storitev. Preverjene so bile tudi informacije o zavarovanju potnikov le največ jih ima v celoti v aplikaciji, pri ostalih se odprejo v brskalniku .
Politika storitev Bolt se sklicuje na prenos podatkov tretjim osebam, razen tistim, ki jih zahteva zakon, in povezanim osebam, seznam samih tretjih oseb pa ni naveden. V Uberjevem pravilniku ni informacij o obdelanih osebnih podatkih. Vredno je preučiti tudi samodejno privolitev uporabnikov za prejemanje oglaševalskih sporočil npr. pri Maximu in Taxoviccof .
Gett zbira tudi informacije, kot so zmogljivost baterije in omrežja na primer stanje baterije in uporaba polnilnika ter imena, vrste in velikosti datotek v napravi, vključno s količino prostega in uporabljenega prostora v lokalni pomnilniški napravi.
Politike zasebnosti vseh storitev, razen Taxoviccof, vključujejo navedbo, da se uporabniški podatki delijo s tretjimi osebami. Običajno gre za zbiranje podatkov o uporabi aplikacij s strani uporabnikov.
Nikita Kulikov, c.t.n., Glavni izvršni direktor podjetja PravoRobot
“Študija je pokazala, da številne službe poleg svojih neposrednih nalog zagotavljanja prevoza državljanom zbirajo prevelike količine podatkov, ki niso neposredno povezani z dejavnostmi naročanja taksijev. Nekatere storitve vaše podatke delijo tudi s tretjimi osebami, vključno s tujimi. V zvezi s tem je pomembno, da se vsak uporabnik zaveda, da je lahko zasebnost njegovih osebnih podatkov vprašljiva tudi v najbolj neopaznih primerih.”.
Negativni in pozitivni vidiki pravilnikov o zasebnosti, na katere naj bi bili po mnenju pravnikov pozorni, so navedeni na vsaki dodatni kartici. Študija je bila izvedena v skladu s testno metodologijo, ki temelji na začasnem nacionalnem standardu za primerjalno analizo mobilnih aplikacij PNST 277-2023
Ali obstaja seznam ocenjenih aplikacij za naročanje taksijev, ki je na voljo javnosti?
Ali so te negotove aplikacije vključevale zanesljive in varne funkcije za naročanje taksijev? Kako je Roskatchestvo ocenil kakovost teh aplikacij in ali so bili uporabniki seznanjeni z morebitnimi tveganji ali slabo delujočimi funkcijami?