Tika pārbaudītas astoņas velosipēdu nomas un 27 velosipēdu koplietošanas lietotnes abās mobilajās platformās: Bike&Go, BikeMe, Bumerang Lifcar , BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Almetyevsk, GreenBee, lite, LuckyBike, Matur.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamokat, VeloBike, VeloBike MultiCity, Green City, Carousel, CityMobile.
Cik daudz velosipēdu un motorolleru var iznomāt Krievijā?
Skūteru nomas tirgus Krievijā strauji aug. Paredzams, ka līdz gada beigām tā palielināsies par 300%: 10 miljardi Euro. Ja 2023. gada sākumā Krievijā nebija vairāk par 10 tūkstošiem motorolleru, tad no šā gada aprīļa to ir aptuveni 85 tūkstoši starp visiem kikšeringa operatoriem, un tas nav limits. Ieceres investēt mikromobilajos transporta pakalpojumos ir izteikuši tādi lieli uzņēmumi kā Yandex, mail, MTS un Sberbank. Lielāko daļu transporta – aptuveni 60 000 skrejriteņu – nodrošina Urent un Whoosh pakalpojumi.
Velosipēdu nomas tirgus attīstās lēnāk: 2023. gada rudenī Maskavā bija 662 velosipēdu nomas punkti, kas apkalpoja 6,5 tūkstošus velosipēdu. Šopavasar tiks pievienotas 67 jaunas nomas stacijas un 1000 jauni velosipēdi, no kuriem puse būs elektrovelosipēdi. Tas jau ir salīdzināms ar tādām pilsētām kā Londona 18 000 vai Ņujorka 8000 . Šogad velosipēdu nomas sezona sākās mēnesi agrāk nekā parasti – aprīļa sākumā. Rīgas Deptrans to skaidro ar to, ka pandēmijas gadā lietotnē balstītais velosipēdu nomas pakalpojums ir kļuvis ļoti populārs iedzīvotāju vidū vairāk nekā 8 miljoni braucienu .
Lai gan ceļu policija ir reģistrējusi negadījumu skaita pieaugumu, kuros iesaistīti mikroautomobiļi, valdība apsver iespēju motorollerus pielīdzināt transportlīdzekļiem, lai ierobežotu ātrumu un tādējādi samazinātu upuru skaitu. Tomēr ir arvien vairāk nomas lietotņu lietotāju. Roskatchestvo izvērtēja šādu lietotņu informācijas drošību un brīdināja par riskiem.
Lielākā daļa velosipēdu nomas un velosipēdu kopīringa pakalpojumu darbojas pēc vienas un tās pašas nesarežģītās shēmas:
– Jums ir jālejupielādē mobilā lietotne un jāpabeidz reģistrācijas process.
– Izvēlieties maksājuma veidu un tarifu, ja pakalpojumā tas ir pieejams.
– Atrast tuvāko bāzi vai skrejriteni kartē.
– Piebrauciet pie transportlīdzekļa un aktivizējiet to, sekojot lietotnē sniegtajiem norādījumiem.
Pārbaudot kickshare un velosipēdu nomas pakalpojumu informācijas drošību, Roskatchestvo kopā ar PravoRobot juristiem analizēja arī to privātuma politiku. Kopumā tika pārbaudītas 68 lietotnes pa 34 iOS un Android operētājsistēmām . Pētījumā tika iekļautas lietotnes, kas testēšanas laikā nodrošināja iespēju iznomāt mikrotransportu, un tika pētītas gan tās, kas darbojas galvaspilsētā, gan reģionālie pakalpojumi.
Programmas drošība tika novērtēta pēc astoņiem kritērijiem:
Nepieciešamo minimālo lietotāja datu pieprasīšana
● Nepieciešamo atļauju pieprasīšana
● Droša lietotnes datu pārsūtīšana
● Lietotāja datu pārsūtīšanas drošība
● Piekrišana datu apstrādei un uzglabāšanai
● Saite uz konfidencialitātes politiku
● Paroles sarežģītība
● Konta dzēšana
Android lietotnes tika pārbaudītas arī attiecībā uz iespējamām ievainojamībām, izmantojot Solar appScreener ievainojamību analizatoru. Lielai daļai lietotņu ir līdzīga arhitektūra, mainās tikai dizains un saturs.
Paroles sarežģītība
Visiem pētītajiem velosipēdu nomas pakalpojumiem, izņemot divus, ir piekļuve lietotnei, izmantojot vienreizējus SMS kodus, tādējādi palielinot drošību un novēršot risku, ka velosipēdu vai skrejriteni var iznomāt citas personas, izmantojot trešās personas kontu. Zemāku drošības līmeni uzrādīja tikai VeloBike – Moscow City Cycle Rental un VeloBike MultiCity. Šajās lietojumprogrammās jums tiks nosūtīts tikai vienreizējs pieteikumvārds un PIN kods, kas laika gaitā nemainīsies. Tiklīdz lietotājvārds un parole ir zināmi, iebrucējs, iespējams, varētu izmantot pakalpojumu savām vajadzībām, piemēram, braukt uz svešas piesaistītās kartes rēķina vai pat nozagt transportu, pēc kā pakalpojuma sniedzējam būtu jautājumi konta īpašniekam: viņam būtu jāpierāda, ka viņš nav vainīgs. Piemēram, ja velosipēds netiek atgriezts pēc 48 nomas stundām,
“Velobike” uzraksta soda naudu 30 tūkstošu Euro apmērā konta īpašniekam. Līdzīgi sodi ir paredzēti arī citām velosipēdu nomas lietotnēm.
Pieprasīt tikai minimāli nepieciešamos lietotāja datus
Parasti, pieslēdzoties tiešsaistes velosipēdu nomas pakalpojumam, mēs parasti ievadām minimālo personisko informāciju, taču nomas pakalpojuma gadījumā 21 % lietotņu tiek pieprasīta paplašināta informācija. Jo īpaši Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamocat, Bike&Go lietotnēs ir nepieciešams vārds un uzvārds. E-motion bija vienīgā lietotne, kurā, reģistrējoties, tika pieprasīta pases vai autovadītāja apliecības fotogrāfija lai gan reģistrējoties šo soli var izlaist bez būtiskām sekām .
Pieprasiet tikai nepieciešamās atļaujas
Lietojumprogrammas informācijas drošību lielā mērā nosaka tās piekļuve. Lai mikromobiļu nomas lietotne darbotos pilnvērtīgi, ir nepieciešami tikai divi nosacījumi: atrašanās vietas pieprasījums un piekļuve kamerai lai skenētu QR kodu . Visas pārējās piekļuves aptaujā tika uzskatītas par liekajām. BusyFly bija vislielākais lieko piekļuvju skaits: tālruņa zvanu veikšana, miega režīma izslēgšana un palaišana, kad ierīce ir ieslēgta. BikeMe meklē kontus ierīcē, savukārt ScooBee pieprasa atļauju parādīt visu logu augšpusē – viena no potenciāli bīstamākajām piekļuvēm. 85 % analizēto Android lietotņu nepieprasa pārmērīgu piekļuvi, iOS šis rādītājs ir vēl lielāks, jo operētājsistēma pati par sevi ir operētājsistēma.
Konta dzēšana
Neviena no analizētajām programmām, izņemot Whoosh, neļauj dzēst kontu, izmantojot programmā iestrādāto funkciju. Tomēr jūs varat pieprasīt atļauju, sazinoties ar dienestu. Vienpadsmit pakalpojumu izstrādātāji ir apsolījuši Roskačam nākamajos atjauninājumos pievienot konta dzēšanu.
Droša datu pārraide
Pētījuma laikā Roskatchestvo eksperti analizēja lietojumprogrammu pārraidītos datus, pārtverot datplūsmu, izmantojot specializētu programmatūru. Trīs lietotņu sistēmas ģeolokalizācijas dati ir publiski pieejami: “lite – braukt šeit, braukt tagad”, Green City un Matur.pilsēta”. Ir iespējams izsekot lietotāja pašreizējai atrašanās vietai, ja viņš to vēlas, bet biežāk cilvēks nosūta datus par savu ģeogrāfisko atrašanās vietu brīdī, kad izīrē skrejriteni vai velosipēdu, atrodoties ārpus telpām. Tas samazina risku, ka iebrucējs iekļūs kanālā un varēs manipulēt ar pārraidītajiem datiem. Vēl svarīgāk ir tas, ka visās lietojumprogrammās tiek nodrošināta droša lietotāja datu pārraide. Tādējādi, izmantojot Roskachevo izmeklētās lietotnes, personas un maksājumu dati būs drošībā.
Piekrišana datu apstrādei un uzglabāšanai
Lietotāja piekrišana kopīgot un apstrādāt viņa datus ir vissvarīgākais princips, sniedzot mūsdienīgus tiešsaistes pakalpojumus. 100 % aptaujāto lietotņu tiek pieprasīta kāda veida piekrišana, bet tikai 24 % pieprasa aktīvu piekrišanu.
Vājās vietas tiešsaistes motorolleru un velosipēdu nomas lietotnēs
Eksperti novērtēja arī iespējamās lietojumprogrammu ievainojamības un nedokumentētās funkcijas, izmantojot Solar appScreener programmatūru. visnozīmīgākā un visizplatītākā iespējamā ievainojamība ir nedroša HTTP protokola izmantošana 90 % Android lietotņu un līdzīgi nedroša SSL implementācija 34 % . SQLite datubāzes vaicājuma ievadīšana tika atklāta 22 %, DNS piekļuve – 82 % lietotņu. Šifrēšanas algoritms lielākajā daļā lietotņu ir labi īstenots, iespējamās ievainojamības konstatētas tikai 12 % pārskatīto lietotņu.
Daniels Černovs, uzņēmuma Rostelecom Solar Solar Solar AppScreener centra direktors.
“Vāji drošas mobilās lietotnes velosipēdu un motorolleru nomai var apdraudēt lielu daudzumu sensitīvu lietotāju datu. Tas var būt pilns vārds un uzvārds, tālruņa numurs, e-pasta adrese, ģeogrāfiskā atrašanās vieta, bankas kartes numurs utt. Par šo datu aizsardzību ir atbildīgi izstrādātāji. Aptaujātie Krievijā populārākie pakalpojumi uzrādīja augstu drošības līmeni. Tomēr nedrīkst aizmirst, ka katrā jaunā lietojumprogrammas versijā ir jāpārskata tās koda kvalitāte un drošība
Juridiskais novērtējums
Visu lietotņu konfidencialitātes politika saņēma diezgan augstu novērtējumu. Trūkums ir tas, ka ne visas lietotnes savā dokumentā norāda informāciju par datu glabāšanu Krievijā – 9 % lietotņu, tostarp MOLNIA, VEZU un Red Wheels, šādu informāciju nenorāda. Izstrādātāja pienākums ir arī norādīt visus trešo personu identifikatorus politikā, tostarp to nosaukumu INN vai OGRN, taču 53 % gadījumu šādu datu trūkst. Bike&Go un GoBike ir iespēja veikt personas datu pārrobežu pārsūtīšanu. GreenBee, Green City un Seagull gadījumā visas ar pakalpojuma starpniecību iegūtās personiskās informācijas īpašnieks ir IE. Velobike oficiāli aizliedz izmantot velosipēdu nomu kā īpašuma ieguldījumu darījumu partnerībās un uzņēmumos.
Ņikita Kuļikovs, uzņēmuma PravoRobotov ANO izpilddirektors
“Jebkura pakalpojuma lietotājiem jāapzinās, ka visas viņu darbības ar lietotnēm, pat tik nenozīmīgas kā velosipēda vai motorollera atbloķēšana, atstāj digitālu nospiedumu un rada zināmas sekas. Tātad gandrīz visas lietotnes kopīgo jūsu datus ar trešām pusēm, lai gan anonīmi. Jebkurā gadījumā lietotājam jāievēro vispārējie drošības principi: jāseko līdzi tam, kādu piekļuvi pieprasa lietojumprogramma, jāsniedz tikai minimāli nepieciešamie dati par sevi. Nevajadzētu sūtīt dokumentu skenējumus vai sasaistīt maksājumu datus ar aizdomīgām lietotnēm, kurām neuzticaties.”.
Roskatchestvo Digitālās ekspertīzes centra vadītājs Antons Kukanovs dalās aptaujas secinājumos:
“Izpētītās velosipēdu un motorolleru nomas lietotnes lielākoties bija ieviestas augstā līmenī un atzītas par vienlīdz drošām. Neviens no novērojumiem, ko var izdarīt, veicot analīzi, neietekmē tiešo lietotāja pieredzi. Vienīgais, uz ko vērts norādīt, ir tas, ka pieteikumvārds un PIN kods laika gaitā nemainās, ko teorētiski varētu izmantot nesankcionētai piekļuvei.”.
Secinājumi un ieteikumi
Izpētītās velosipēdu un motorolleru nomas lietotnes lielākoties ir ieviestas atbilstoši augstiem standartiem. Praktiski neviens no analīzē gūtajiem novērojumiem neietekmē tiešo lietotāja pieredzi. Vienīgais nekritiskais punkts, kam vērts pievērst uzmanību ņemot vērā pakalpojuma mērogu , ir pieteikšanās vārds un PIN kods, kas laika gaitā nemainās un ko teorētiski var izmantot nesankcionētai piekļuvei Rīgas pilsētas velo nomai un tās variantam Multicity . Visas lietojumprogrammas ir novērtētas kā vienlīdz drošas, netika identificētas nedrošas lietojumprogrammas.
Kopumā velosipēdu un motorolleru nomas lietotņu izmantošana ir maz riskanta. Roskatchestvo iesaka lietot šī tirgus lielāko dalībnieku aplikācijas. Tomēr esiet uzmanīgi, lejupielādējot programmas no mazpazīstamiem pakalpojumiem, un jebkurā gadījumā vienmēr pievērsiet uzmanību tam, kādu piekļuvi tās pieprasa instalēšanas laikā. Izvēloties pakalpojumu, paturiet prātā, ka tie nodrošina savu pārklājumu un stāvvietas, kas ir svarīgi, plānojot maršrutu.
Vai Roskachestvo pētījumā tika iekļautas arī lietotnes, kas piedāvā iznomāt velosipēdus un motorollerus?