Roskachevo identificē nedrošas taksometru lietotnes

Roskatchestvo Digitālo ekspertīžu centrs ir veicis aptauju par 20 populārākajām taksometru pasūtīšanas mobilajām lietotnēm. Tā kā taksometru pakalpojumi vāc un glabā mūsu personas un maksājumu datus, tiem ir jānodrošina nevainojama drošība. Papildus tika analizēta arī vairāk nekā 60 mazpazīstamu lietotņu informācijas drošība. Diemžēl ne visi no tiem izrādījās droši.

Kopš 2023. gada taksometru tirgus nepārtraukti aug un strauji mainās, 2023. gadā vairākus pakalpojumus, tostarp Veset un Rutaxi, kurus iepriekš analizēja Roskachevo, iegādājās Yandex, palielinot savu kopējo daļu un padarot to par absolūtu līderi klātbūtnes ziņā 40 % kopumā, 67 % starp agregatoriem, saskaņā ar Forbes datiem, 2023. gada septembrī .

Lai noskaidrotu, cik funkcionālas, kvalitatīvas un drošas ir taksometru pasūtīšanas lietotnes, Roskachestvo ir testējis 20 lietotnes: pa 10 iOS un Android. Un PravoRobotov juristi pārbaudīja privātuma politiku atbilstību Federālajam likumam “Par personas datiem” Nr. 152-FZ, 27…..07.2006 un uzsvēra negatīvos un pozitīvos aspektus, kuriem lietotājiem būtu jāpievērš uzmanība.

Sergejs Bodrovs, Roskatchestvo Digitālās ekspertīzes centra vadītājs.

“Pētījuma laikā eksperti izmantoja lietotnes kā parastie lietotāji: viņi pasūtīja taksometrus un braukāja pa pilsētu, analizēja lietotnes darbību un funkcionalitāti, pievienoja adreses izlasē un pasūtījumu pieprasījumus, pētīja autovadītāju profilus informāciju par autovadītājiem, automašīnām, pārvadātāja uzņēmumu un praktizēja citus tipiskus lietošanas scenārijus. Turklāt mēs pārbaudījām lietotņu drošību, izmantojot specializētu programmatūru. Rezultātā tika pārbaudītas visas galvenās funkcijas un novērtēta taksometru pasūtīšanas lietojumprogrammu ērtība, drošība, veiktspēja un uzticamība.”

Saskaņā ar aptaujas rezultātiem vadošā lietotne Yandex Go palika nemainīga, Taxoviccof zaudēja pozīcijas, bet Citimobile uzlaboja savu pozīciju un tagad ieņem trešo vietu abās platformās iOS un Android .

Saskaņā ar testa rezultātiem visfunkcionālākās lietotnes ir Yandex Go, Taxovichkof abās platformās un Uber Android sistēmā, kā arī Citimobile iOS sistēmā. Lietotājam draudzīgākās lietotnes pētījumā ir Yandex Go, Taxovitchkof un maxim operētājsistēmā Android un Taxovitchkof un maxim operētājsistēmā iOS. Attiecībā uz informācijas drošību visas populārākās lietotnes ir uzrādījušas labus rezultātus, un lielākā daļa no tām ir novērtētas ar 3,5 vai vairāk ballēm. Dažas Android lietotnes ir noraidītas, jo tajās ir lietotāja datu “izsekotāji”.

Lielākā daļa funkciju visiem aptaujas dalībniekiem tiek īstenotas augstā līmenī. Tomēr Gett un DiDi neļauj izsaukt taksometru, iepriekš nenorādot adresi, un ne visas programmas parāda attālumu, kas palicis līdz lietotājam no automašīnas: šī funkcija nav pieejama Pohodlya, Taxovychkof un maxim. DiDi Android versijā kartē nav redzamas ēkas. Tikai Taxoviccof, Yandex.Go, Citymobile un Uber atkal var izvēlēties nesen veiktā brauciena adresi.

Nākamais svarīgais punkts lietotājam pēc tam, kad automašīnas izvēle ir izdarīta un automašīna ir piešķirta, ir vadītāja un automašīnas profils. Eksperti novērtēja, vai vadītāja kartē ir norādīts vadītāja pilns vārds un uzvārds, viņa fotogrāfija un novērtējums, informācija par automašīnu, informācija par uzņēmumu, kas pārvadā vadītāju, datums, kad vadītājs reģistrēts taksometru dienestā.

Tāpat kā iepriekšējā pētījumā, joprojām pastāv ievērojamas atšķirības starp lietotnēm attiecībā uz to, cik lielā mērā ir aizpildīts autovadītāja profils, sākot no praktiskas autovadītāja profila neesamības lietotnēs “Let’s go”, “Omega” un TapTaxi līdz pilnībā informatīvai kartei ar fotogrāfiju lietotnēs “Yandex Go”, DiDi un Gett.

Nākamā lietotājam svarīgā kritēriju grupa ir ceļošanas vēlmes. Ja lietotājam ir mazs bērns, smaga bagāža vai dzīvnieks, ir ļoti svarīgi, lai būtu piemēroti filtri. Pētījumā konstatēts, ka dažās lietotnēs šādu filtru trūkums joprojām ir problēma. DiDi, Gett, TapTaxi un Uber ir vismazāk iespēju izteikt ceļojuma vēlmes.

Turklāt tika novērtēta SOS pogas klātbūtne: tā ir pieejama “Omega”, “Let’s go”, “Yandex Go” un maxim, kā arī DiDi un Citimobile. Šī funkcija ļauj ar vienu pieskārienu piezvanīt uz numuru 112 vai kopīgot atrašanās vietas informāciju ar uzticamiem kontaktiem. Dažiem cilvēkiem tā var būt izšķiroša iezīme, izvēloties pakalpojumu.

Salīdzinot ar iepriekšējo aptauju, tagad populārāka ir draiveru iekļaušana melnajā sarakstā lielāko daļu draiveru melnajā sarakstā iekļauj atbalsta dienests, taču ir arī tādi, kas ļauj bloķēt draiveri . Lietotāju reitinga līdzīga autovadītāja reitingam demonstrēšana netika novērtēta, tikai Yandex Go ir atvērta pasažieriem. Citimobile ir līdzīgs lietotāja konta līmenis.

Pārbaudot lietotņu drošību, eksperti vērtēja, vai pakalpojums pieprasa tikai minimālos nepieciešamos lietotāja datus un atļaujas, kā arī to, vai lietotājs var dzēst kontu. Atsevišķi analizēta lietojumprogrammas datu pārsūtīšanas un lietotāja datu drošība. Eksperti, izmantojot īpašu programmatūru Wireshark , fiksēja visu lietojumprogrammas nosūtīto datplūsmu un pēc tam analizēja, vai tajā nav nešifrētu datu. Visas lietotnes sekmīgi veica datplūsmas pārtveršanu – netika konstatētas ievainojamības.

Ir ieviests arī jauns kritērijs: analītisko izsekotāju, kas apkopo informāciju par lietotāju, klātbūtne. Izstrādātāji tos pievieno pamatotu iemeslu dēļ – lai analizētu lietotāju uzvedību un izmantotu šo informāciju lietotnes attīstīšanai. Taču lielo korporāciju piemēram, Facebook vai Google bezmaksas izsekotāji rada papildu drošības riskus: bez lietotāja pieprasījuma IT giganti saņem statistikas datus. Šā iemesla dēļ šādu izsekošanas ierīču klātbūtne pētījumā tika uzskatīta par mīnusu. iOS lietojumprogrammās šādi moduļi netika konstatēti, savukārt Android lietojumprogrammās šis kritērijs tika novērtēts zemāk.

60 % lietojumprogrammu ir 3-D Secure bankas karšu sasaiste. Šis īsziņā nosūtītais kods ir nepieciešams, lai pakalpojums varētu pārbaudīt, vai karte patiešām pieder jums. Teorētiski tās neesamība varētu ļaut uzbrucējiem piesaistīt svešu karti savam kontam un pēc tam veikt maksājumus, izmantojot nozagto karti vai vienkārši uztverot tās informāciju.

Turklāt Roskatchestvo eksperti pārbaudīja visas Android lietotnes, izmantojot Solar appScreener analizatoru, lai noteiktu, vai tajās nav ievainojamību un VAS, izmantojot automātiskās bināro analīzes tehnoloģiju, neizmantojot reverso inženieriju avota koda dekompilāciju . Tika konstatētas šādas iespējamās ievainojamības: DNS izmantošana 50 % gadījumu, nedrošs atspoguļojums 30 % pārbaudīto lietojumprogrammu, nedroša SSL īstenošana 20 % gadījumu. vājš šifrēšanas algoritms 80 % aptaujāto lietojumprogrammu, nedroša HTTP protokola izmantošana 70 % lietojumprogrammu. Integrācija SQLite datubāzes vaicājumā – 20%.

Papildus pētījumā iekļautajām 20 labi zināmajām lietotnēm eksperti pārbaudīja arī 63 citu nepopulāru lietotņu drošību: attiecīgi 36 operētājsistēmā Android un 27 operētājsistēmā iOS.

iOS platformā pasūtīšanas laikā atklāti tika pārsūtīti tikai lietotāja ģeolokācijas dati; kopumā tajā tika iekļautas 6 lietotnes, tostarp NonStop: taksometru pasūtīšanas pakalpojums; Taxi Pobeda; DA TAXI Tyumen un Taxi Variant. Situācija Android sistēmā izskatās sliktāka, jo speciālisti konstatēja divas lietojumprogrammas: SV-TAXI. Izsaukt taksometru” un “UpTaxi visas pilsētas “, kas papildus iepriekš minētajiem ģeolokācijas datiem pārsūtīja publiski pieejamus un personiskos lietotāja datus. Tālruņa numurs vienā gadījumā un attiecīgi akreditācijas dati tālruņa numurs un parole un ierīces modelis otrajā gadījumā. Šī neaizsargātība ne tikai tieši apdraud datus, bet arī var radīt jaunus uzbrukumus lietotājiem no krāpniekiem.

Tika identificētas arī trīs Android lietotnes, kas pārsūtīja nešifrētus lietotāja ģeolokācijas datus, proti, “Taxi Order GOST”, “My City” un “Taxi Saturn+”. Tāpat kā iOS gadījumā, šī ievainojamība, lai gan nav kritiska, tomēr ir nevēlama no digitālās drošības viedokļa.

Atsevišķa problēma Android platformā ir lieka vai slēpta piekļuve lietotnēm, kas nodrošina lietotnēm slēptas funkcijas, un dažos gadījumos tās var būt pat ļaunprātīgas. Piemēram, 17 no 36 Android lietotnēm ir piekļuve tālruņa statusa datiem, 8 no 36 lietotnēm ir piekļuve kontaktu skatīšanai un 6 no 36 lietotnēm ir piekļuve tālruņa zvanu veikšanai.

Starp lietojumprogrammām, kurās pieprasītas visas iepriekš minētās lieko piekļuves, var minēt “SV-TAXI. Taksometra izsaukums, taksometrs Nam Puti un Faem.Taksometri. Roskatchestvo neiesaka lejuplādēt šādas lietotnes.

Pārbauda, vai taksometru pasūtīšanas lietotņu privātuma politika atbilst likumam “Par personas datiem” № 152-FZ no 27. aprīļa .07.2006 veica autonomās bezpeļņas organizācijas PravoRobotov juristi. Kopumā visas aptaujātās lietotnes no juridiskā viedokļa ir labi novērtētas ar 4 un vairāk punktiem. Izņēmums bija uzņēmums Taxovichkof, kura lietotnē aptaujas veikšanas laikā nebija saites uz konfidencialitātes politiku. Šā pētījuma publicēšanas laikā problēma nebija novērsta. Tomēr visi pakalpojumi, izņemot Taxovickof, nodod datus saistītām trešām pusēm.

Pasažieru taksometru pasažieru dzīvības un veselības apdrošināšana jau vairākus gadus ir bijusi gan valsts iestāžu, gan visas sabiedrības uzmanības centrā. Pētījuma ietvaros Roskatchestvo un PravoRobotov juristi analizēja informāciju par apdrošināšanu attiecīgajos pieteikumos. Tikai trijām no tām Citimobil, Yandex un citām ir trešās puses apdrošināšanas polise.Taxi” un Gett pakalpojums automātiski apdrošina pasažieri brauciena laikā, un pasažiera apdrošināšana tiek nodota trešajai personai. Citi pakalpojumi tādā vai citādā veidā pārliek atbildību par ārkārtas situācijām uz autovadītāja un/vai pasažiera pleciem un piespiež piekrist, ka faktiski pārvadātājs “nesniedz transporta vai loģistikas pakalpojumus” un nepieņem pretenzijas ieskaitot šādu formulējumu pakalpojumā Uber, kas pieder Yandex .

Staņislavs Švagerus, Starptautiskā Eirāzijas taksometru foruma kompetences centra vadītājs.

“Latvijas Federācijā pasažieru apdrošināšana ir brīvprātīga, un faktiski tā ir agregatora konkurences priekšrocība tirgū. Tomēr šādas apdrošināšanas brīvprātīgais raksturs taksometru pasažieriem ir saistīts ar ievērojamiem riskiem. Lai gan obligātā apdrošināšana skaidri nosaka maksājuma kārtību, apdrošināšanas maksājuma summa ir noteikta gan apdrošināšanas tiesību aktos, gan 2007. gada 8. novembra Federālā likuma 34. pantā “Kravas ekspeditora atbildība”. N 259-fz “Autotransporta un pilsētas sauszemes elektrotransporta nolikums”, tad brīvprātīgas agregatora civiltiesiskās atbildības apdrošināšanas gadījumā šo kārtību un maksājumu apmērus nosaka apdrošinātāja un agregatora vienošanās. Tāpēc arī faktiskās kompensācijas par pasažieru dzīvību un veselību pasažieru taksometros ir ārkārtīgi zemas.”

Īpašs gadījums ir tā sauktie “otrā līmeņa” apkopotāji, kuriem vēl ir jāapdrošina savas saistības vai jāorganizē “atlīdzības fondi”. Šādi agregatori parasti savos iekšējos noteikumos norāda, ka “tie nav atbildīgi par vieglo taksometru publiskā pasūtījuma līgumu un ka visu atbildību pret pasažieri uzņemas taksometra vadītājs”. Šie apkopotāji neņem vērā, ka saskaņā ar 2007. gada 8. novembra Federālā likuma 37. pantu “Līgumu spēkā neesamība”. N 259-FZ “Autotransporta un pilsētas sauszemes elektrotransporta nolikums”, šādi dokumenti ir nederīgi.

Tiesu prakse attiecībā uz kompensācijām par kaitējumu, kas nodarīts vieglo taksometru pasažieru dzīvībai un veselībai, ir plaša, un tā izpaužas kā taksometru pārvadātāju masveida atbildības atzīšana par kaitējumu, kas nodarīts vieglo taksometru pasažieriem saskaņā ar vieglo taksometru čartera līgumu. Uzziniet, vai jūsu iecienītākais taksometru pakalpojums atbilst drošības standartiem un likumiem?

Pētījums tika veikts saskaņā ar testēšanas metodoloģiju, kas balstīta uz provizorisko valsts standartu mobilo lietotņu salīdzinošai testēšanai PNST 277-2023.