...

Roskatchestvo izvērtēja taksometru pasūtīšanas lietotnes un identificēja nedrošas lietotnes

Roskatchestvo Digitālo ekspertīžu centrs veica aptauju par populārākajām taksometru pasūtīšanas mobilajām aplikācijām. Eksperti ir noskaidrojuši, kuri pakalpojumi ir visdrošākie un funkcionālākie, tāpēc tos ieteicams izmantot, un kurus no viedtālruņa labāk vispār izņemt.

attēls_1

Saskaņā ar Sabiedriskās domas fonda 2023. gada decembrī veiktās aptaujas datiem taksometru pakalpojumus pēdējā gada laikā ir izmantojuši 66 % Latviešu lielākajās pilsētās – līdz 73 % . 4% Latviešu izmantoja taksometru gandrīz katru dienu, 10% – vairākas reizes nedēļā, 22% – vairākas reizes mēnesī un 29% – vairākas reizes gadā. Lielākā daļa Latvijas iedzīvotāju 69% jau ir pieraduši pie šī pakalpojuma un uzskata, ka tas ir drošs. Vai tas tiešām tā ir? Roskatchestvo pēdējo reizi pārbaudīja mobilo taksometru pasūtīšanas lietotnes 2023. gada decembrī. Tajā laikā Roskatchestvo ekspertiem bija daudz jautājumu par mobilo lietotņu drošību.

Lai noskaidrotu, cik funkcionālas, kvalitatīvas un drošas ir taksometru pasūtīšanas lietotnes, Roskachevo pārbaudīja 22 lietotnes: pa 11 iOS un Android. Turklāt eksperti analizēja nepopulāras taksometru pasūtīšanas lietotnes, kas nav ierindotas galvenajās drošības kategorijās. No vairāk nekā 100 pārbaudītajām lietotnēm tika konstatētas nedrošas lietotnes.

Pirmajā pieciniekā šogad nav notikušas lielas izmaiņas, no līderu saraksta izkrīt Taxovychkof, kas iepriekšējā aptaujā ieņēma tikai 7. vietu, un Uber, 2023. gada sudraba medaļnieks, gluži pretēji. Arī Gett abās platformās ir pazemināts uz 5. pozīciju. Par labākajām visos kritērijos tika atzītas lietotnes Yandex Go, Taxovichkof un Citimobile Android operētājsistēmā, bet iOS operētājsistēmā – Yandex Go, maxim un Taxovichkof.

Pētījuma laikā Roskatchestvo eksperti izmantoja aplikāciju kā parastie lietotāji: pasūtīja un brauca ar taksometru, analizēja aplikācijas darbību un tās funkcionalitāti, pievienoja adreses izlasē un vēlmes pasūtījumiem, pētīja autovadītāju profilus informāciju par autovadītājiem, automašīnām, pārvadātāja uzņēmumu utt. Tika veikts arī papildu lietotnes drošības tests, izmantojot specializētu programmatūru. Testi tika veikti pēc 139 kritērijiem, pārbaudītas visas galvenās funkcijas, novērtēta taksometru pasūtīšanas lietojumprogrammu ērtība, informācijas drošība, veiktspēja un uzticamība.

Padziļinātas intervijas ar taksometru lietotājiem, ko veica Roskachevo eksperti, un vairāk nekā 900 atsauksmju semantiskā analīze App Store un Google Play Market palīdzēja novērtēt lietotnes.

Funkcionalitāte

Viena no svarīgākajām mobilās lietotnes funkcijām ir funkcionalitāte. Eksperti pārbaudīja vadītāja un automašīnas kartes, automašīnas pasūtīšanas funkciju, iespēju atstāt vēlmes ceļojumam bērni, bagāža, dzīvnieki u. c. , apskatīt tās vēsturi, iestatījumu funkcionalitāti un daudz ko citu.

Ekspertu norādītie trūkumi: DiDi kartē neatspoguļoja ēkas tas tika novērsts versijā, kas tika izdota pēc aptaujas pabeigšanas , savukārt Rutaxi parādīja lietotāja atrašanās vietu. Gett, DiDi un Bolt neļauj pasūtīt automašīnu citai personai. Didi un Bolt arī neļauj norādīt brauktuvi, veicot pasūtījumu. Gett ir vienīgais taksometrs bez iespējas norādīt starpposma pieturas. Gett, Bolt un Uber neļauj pasūtīt otru automašīnu. “Let’s go” un DiDi neļauj skatīt jaunākās adreses. Karšu novērtējumā autsaideri bija Veset un Rutaxi, kuriem būtībā nav vadītāja kartes un ir tikai informācija par transportlīdzekli. Mazāk nekā pusei lietotņu ir fotoattēls un vadītāja vērtējums.

DiDi trūkst funkcijas, lai atstātu vēlmes pasūtījumam. Iespēja lūgt šofera palīdzību iekāpšanas laikā ir pieejama tikai Maxima, Pohodļja un Taksovičkofa maršrutos – tas ir īpaši svarīgi pasažieriem ar kustību traucējumiem. Jāatzīmē arī tas, ka pusei pakalpojumu nav iespējas norādīt uz bagāžas klātbūtni vai vajadzīgo vietu tās novietošanai.

Brauciena laikā tika novērtētas dažādas funkcijas, kas atvieglo pasažiera dzīvi. Lai gan saziņa ar autovadītāju pirms iekāpšanas un paziņošana par transportlīdzekļa ierašanos ir ieviestas kā pamatfunkcijas visās lietotnēs, pasažiera paziņošana autovadītājam par transportlīdzekļa atiešanu ir retāka tikai 45 % lietotņu ir šāda funkcija . Turklāt gandrīz visās lietotnēs, izņemot Citimobile, Gett un Rutaxi, ir iespēja kopīgot ceļojuma saiti ar trešām personām, kas ir svarīgi pasažieru drošībai.

Mazāk nekā puse lietotņu ļauj mainīt maksāšanas veidu ceļojuma laikā, bet pārējās to ļauj darīt tikai līdz pasūtījuma veikšanas brīdim. Visretāk sastopamā funkcija grupā bija SOS poga: tā ir tikai Yandex Go, DiDi un Bolt. Šī funkcija ļauj ar vienu pieskārienu piezvanīt uz numuru 112 vai kopīgot atrašanās vietu ar uzticamiem kontaktiem. Visi pakalpojumi, izņemot Rutaxi un Taxoviccof, ļauj mainīt maršrutu pēc brauciena sākuma.

Taksometru pasūtīšanas lietojumprogrammās tika vērtēta visu maksājumu metožu pieejamība skaidra nauda, bankas pārskaitījums, Google/Apple Pay , kā arī bezskaidras naudas norēķinu ērtums vairāku karšu sasaiste, automātiska datu aizpildīšana, skenējot karti un iespēja noteikt dzeramnaudu pirms un pēc brauciena abas iespējas ir 45 % lietotņu . Mazāk nekā puse lietojumprogrammu atbalsta bezskaidras naudas norēķinus, izmantojot citus pakalpojumus, un tikpat daudz lietojumprogrammu ļauj skenēt karti.

Atsevišķi no citām funkcijām tika novērtēta iespēja pievienot konkrētu autovadītāju lietotnes melnajā sarakstā tikai DiDi Android operētājsistēmā, Yandex Go, Gett un Uber iOS operētājsistēmā . Lietotāju reitinga demonstrēšana līdzīgi kā autovadītāja reitings netika novērtēta, tikai Yandex Go ir atvērta pasažieriem.

Saskaņā ar testa rezultātiem visfunkcionālākās Android lietojumprogrammas ir Yandex Go, Taxovitchkof un Poholy. iOS – “Yandex Go”, “Taxovitchkof” un Gett

Papildus funkcionalitātei eksperti pārbaudīja arī lietotņu lietojamību. Eksperti veica lietojumprogrammu lietojamības testēšanu ar vairāk nekā 180 parastiem lietotājiem. Pētījuma laikā lietotājiem tika doti testa uzdevumi, piemēram, interfeisā atrast iespēju atstāt komentārus par ceļojumu vai mainīt maksāšanas veidu, un analizētas viņu darbības. Tas ļāva mums novērtēt lietotņu saskarnes skaidrību un lietojamību. Ērtākais veids, kā lietotāji var sazināties ar Uber un Yandex.Iet”.

Tikai Yandex ir pilnīga palīdzība lietotnē.Go” un Uber tērzēšanas vai atsauksmju veidlapa, palīdzība pakalpojuma izmantošanā, iespēja piezvanīt atbalsta dienestam .

Pielāgošana cilvēkiem ar invaliditāti atbalsts dinamiskajiem fontiem un VoiceOver/Talkback ekrāna lasītājiem ir pilnībā pieejama tikai Android lietotnē. iOS lietotnēm tradicionāli ir bijis sliktāks kopējais rezultāts šajā kritērijā, jo platformas tehniskās īpašības ir sliktākas, un tikai Citimobile ieguva 4 punktus.

Visās aptaujātajās lietotnēs nav iestrādātu reklāmas materiālu, izņemot Taxoviccof, kurā ir iestrādāta pārtikas piegādes pakalpojuma reklāma.

attēls_2

attēls_3

Drošība

Informācijas drošība ir ļoti svarīga taksometru pasūtīšanas pakalpojumiem, jo lietotājs lietotnē sniedz savus maksājumu datus un dažos gadījumos arī personas datus. Šajā procesā mēs novērtējām, vai pakalpojums pieprasa tikai minimāli nepieciešamos lietotāja datus un atļaujas. Atsevišķi tika novērtēta lietojumprogrammas un lietotāja datu pārraides drošība.

Lai pārbaudītu datu pārraides drošību, eksperti, izmantojot specializētu programmatūru Wireshark , fiksēja visu lietojumprogrammas nosūtīto datplūsmu un pēc tam analizēja to, vai tajā nav šifrētu datu. Visas lietotnes, izņemot DiDi un Veset Android versijas, veiksmīgi pārtvēra datplūsmu: Didi pārraida nešifrētus lietotnes attēlus saturu , bet Veset pārraida lietotāja koordinātas un galamērķa adresi, kas ir daudz nopietnāk.

Iespējams, ka, pārtverot šos datus, krāpnieks varētu izsekot ceļu līdz upura galamērķa adresei un tālāk izmantot šo informāciju mērķtiecīgiem uzbrukumiem. Visas lietotnes, izņemot DiDi, Bolt un Uber, izmanto 3-D Secure protokolu, lai piesaistītu bankas kartes.

Šogad visas lietotnes tika atzītas par drošām un aizsargātām – 73% iOS un Android pakalpojumu tika novērtēti ar 4 vai vairāk ballēm. DiDi un Bolt abās platformās tika pazemināts, jo reģistrācijas laikā tika veikta lieka datu vaicāšana.

Turklāt Roskatchestvo eksperti pārbaudīja visas Android lietojumprogrammas ar Solar appScreener, lai noteiktu, vai tajās nav ievainojamību, izmantojot automatizētu bināro analīzes tehnoloģiju bez apgrieztās inženierijas avota koda dekompilācijas .

Rezultāti parādīja šādas iespējamās ievainojamības: nedroša SSL implementācija 54 %, nedrošs atspulgs 81 %, nedroša HTTP izmantošana 90 %, vājš šifrēšanas algoritms 72 %, vājš šifrēšanas algoritms 9 %, SQLite datubāzes vaicājuma injekcija 18 %, DNS vaicājuma izmantošana 90 %.

Papildus pētījumā iekļautajām 22 labi zināmajām lietojumprogrammām speciālisti pārbaudīja arī aptuveni simts citu, daudz mazāk populāru lietojumprogrammu drošību 65 % no tām bija paredzētas operētājsistēmai Android .

Dažās Roskačeva atsevišķi pārbaudītajās lietojumprogrammās tika atklātas nepilnības, kas varēja radīt nepatīkamas sekas lietotājiem. Vismaz piecās programmās tika konstatēta neaizsargāta pasažieru koordinātu pārraide, dažos gadījumos pievienojot tālruņa numuru un modeli vai pat personiskos lietotāja datus. Pastāv risks, ka kibernoziedznieki varētu iegūt šos datus, kurus vēlāk varētu izmantot pret upuri,” sacīja Roskachevo Digitālo ekspertīžu centra vadītājs Antons Kukanovs.

Nešifrēts tālruņa numurs no Taxi Saturn, RED TAXI, UpTaxi un Taxi GOST ir potenciāla ievainojamība, jo, pārtverot datus, uzbrucējs varētu iegūt piekļuvi tiem. Nevēlama informācija ir arī konkrēts tālruņa modelis, jo katram tālruņa modelim ir atšķirīgas ievainojamības, ko kibernoziedznieki var izmantot, ja tie apzināti vēršas pret upuri. Tas jo īpaši attiecas uz vecākiem viedtālruņu modeļiem.

Personas dati uzņēmumā Saturn Taxi ir telefona numura un vārda kopums, kas ir ļoti sensitīva informācija. Koordinātas pie X-Scar sliktākajā gadījumā -TAXI -SV un UpTaxi, Taxi, NonStop, uzbrucējs var iegūt galamērķa koordinātas, bet pārsvarā tiek pārsūtītas pašreizējās atrašanās vietas koordinātas. Visas šīs ievainojamības un potenciāls iekļūt lietojumprogrammas drošības perimetrā. Tāpēc nav ieteicams izmantot Fi piemēram, -aplikācijas, ja tālrunis ir pieslēgts publiskajam Wi-Fi tīklam un izmantot mobilo internetu šim nolūkam. -restorānā vai viesnīcā

Konfidencialitātes politika

Pārbaudīt taksometru pasūtīšanas lietotņu privātuma politikas atbilstību Personas datu likumam Nr. 152-FZ, 27.04.2010.07.2006 veica Autonomās bezpeļņas organizācijas “PravoRobotov” juristi. Šajā pētījumā attiecīgā 17 testa parametru grupa veidoja 10 % no aplikācijas galīgā rezultāta.

Juristi pārbaudīja politiku atbilstību Latvijas tiesību aktiem, kā arī pārbaudīja lietojumprogrammu atbilstību lietotājiem svarīgiem kritērijiem, piemēram, personas datu apstrādes izbeigšanas nosacījumus, norādot, kas ir atbildīgs par to vākšanu, personas, kurām tie tiek nodoti, kā arī glosārija un lokalizācijas Latviešu valodā esamību pakalpojumu lietošanas dokumentācijā. Tika pārbaudīta arī informācija par pasažieru apdrošināšanu tikai pašā lietotnē tā ir pilnībā, pārējiem dokuments tiek atvērts pārlūkprogrammā .

Papildus likumā noteiktajām prasībām Bolt pakalpojumu politikā nav uzskaitīti trešo personu saņēmēji vai saistītie uzņēmumi. Un Uber politikā trūkst informācijas par apstrādātajiem personas datiem. Ir vērts pievērst uzmanību arī lietotāju automātiskai piekrišanai saņemt reklāmas sūtījumus piemēram, par maxim un Taxoviccof .

Gett apkopo pat tādu informāciju kā akumulatora un tīkla veiktspēja piemēram, akumulatora stāvoklis un lādētāja izmantošana , kā arī failu nosaukumi, failu tipi un izmēri ierīcē, tostarp cik daudz brīvas vietas ir pieejams un izmantots vietējā atmiņas ierīcē.

Visu pakalpojumu, izņemot Taxovitchcof, privātuma politikās ir norādīts, ka lietotāja dati ir izpaužami trešajām personām. Parasti tie ir saistīti ar datu vākšanu par lietotņu lietošanu no lietotāju puses.

Ņikita Kuļikovs, lai.t.n., Uzņēmuma PravoRobotov izpilddirektors

“Pētījumā konstatēts, ka vairāki dienesti papildus tiešajiem pienākumiem, kas saistīti ar iedzīvotāju pārvadāšanu, vāc pārāk daudz datu, kas nav tieši saistīti ar taksometru pasūtīšanas darbībām. Daži pakalpojumi jūsu datus kopīgo arī ar trešajām pusēm, tostarp ārzemju pusēm. Šajā sakarā ikvienam lietotājam ir svarīgi atcerēties, ka pat visneuzskatāmākajās situācijās jūsu personas datu konfidencialitāte var būt apdraudēta.”.

Konfidencialitātes politikas negatīvie un pozitīvie aspekti, uz kuriem juristi iesaka vērst uzmanību, ir uzskaitīti katrā pieteikuma kartē. Pētījums tika veikts saskaņā ar testēšanas metodoloģiju, kas balstīta uz provizorisko valsts standartu mobilo lietotņu salīdzināšanas testiem PNST 277-2023

Novērtējiet šo rakstu
( Vēl nav vērtējumu )
Apala Lacis

Kamēr atceros, vienmēr esmu bijis apburots ar apkārtējās pasaules skaistumu. Jau bērnībā es sapņoju par telpu radīšanu, kas ne tikai iepriecina, bet arī ietekmē cilvēku labklājību. Šis sapnis kļuva par manu vadmotīvu, kad nolēmu iet iekštelpu dizaina ceļu.

Sadzīves tehnika. Televizori. Datori. Foto aprīkojums. Atsauksmes un testi. Kā izvēlēties un iegādāties.
Comments: 1
  1. Krista Zariņa

    Vai jūs varētu sniegt sīkāku informāciju par to, kādas ir šīs nedrošās taksometru pasūtīšanas lietotnes? Vai ir kādi konkrēti riski vai problēmas, ar kurām mums jārēķinās, izmantojot tās? Kuras ir drošās alternatīvas šīm lietotnēm? Paldies par informāciju!

    Atbildēt
Pievienot komentārus