Роскачество назвало главные уязвимости приложений для аренды самокатов

Эксперты Роскачества отметили, что рынок аренды самокатов в России стремительно растет: на всех операторов кикшеринга приходится 85 тысяч самокатов. Это число, по предварительным прогнозам, может увеличиться на 300% до конца года. В сервисы микромобильного транспорта хотят инвестировать такие компании, как Яндекс, mail.ru, МТС и Сбербанк. Однако, абсолютное большинство транспорта - около 60 тысяч самокатов - приходится на долю сервисов Urent и Whoosh.

   
   

Рынок аренды велосипедов развивается медленнее. Однако, в 2020 году из-за пандемии услуга проката велосипеда через приложение стала очень востребованной у населения: более 8 миллионов поездок. В этом году сезон велопроката начался на месяц раньше обычного. 

Таким образом, в приложениях для аренды самокатов появляется все больше пользователей. Роскачество оценило их информационную безопасность и выявило риски.

Как пользоваться сервисами аренды велосипедов и самокатов?

Большинство сервисов велопроката и кикшеринга работают одинаково. Нужно скачать мобильное приложение, пройти процесс регистрации, а также выбрать способ оплаты и тариф.  После пользователю необходимо найти ближайшую базу или самокат на карте, подойти к транспортному средству и активировать его.

Таблица 1 Аренда самокатов Фото: Роскачество

Политика конфиденциальности

Роскачество совместно с юристами из АНО «ПравоРоботов» проанализировало политики конфиденциальности приложений. Всего было изучено 68 сервисов (по 34 для iOS и Android). 

Безопасность оценивалась по восьми критериям: запрос минимально необходимых пользовательских данных, запрос необходимых разрешений, безопасность передачи данных приложения и пользовательских данных, согласие на обработку и хранение данных, ссылка на политику конфиденциальности, сложность пароля и удаление аккаунта. Приложения для Android дополнительно проверили на наличие потенциальных уязвимостей с помощью анализатора уязвимостей Solar appScreener.

Итак, почти все сервисы аренды велосипедов имеют доступ в приложение по одноразовым SMS-кодам, что повышает надежность и исключает риск того, что велосипед или самокат будут арендовать другие люди под сторонней учетной записью.

   
   

Низкий уровень безопасности продемонстрировали только сервисы «ВелоБайк - городской велопрокат Москвы» и «Велобайк Мультигорода». Эти приложения присылают разовый логин и PIN-код, который не меняется. 

21% всех приложений запрашивает расширенные данные, в том числе приложения Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Берисамокат, Bike&Go требуют имя и фамилию. E-motion попросило фото паспорта или водительского удостоверения.

Информационная безопасность приложения во многом определяется его доступами. Для полноценной работы приложения аренды микромобильного транспорта необходимы только два: запрос местоположения и доступ к камере, чтобы отсканировать QR-код. Наибольшее количество избыточных доступов было зафиксировано у BusyFly, который потребовал осуществление телефонных вызовов, отключение спящего режима, а также запуск при включении устройства. BikeMe осуществляет поиск аккаунтов на устройстве, а ScooBe‪e запрашивает разрешение на показ поверх всех окон - это один из самых потенциально опасных доступов. 

Эксперты также отметили, что ни одно из приложений, кроме Whoosh, не позволяет удалить свой аккаунт при помощи реализованной в программе функции. Для этого необходимо обратьиться в службу поддержки сервисов. 

В ходе исследования также выяснилось, что приложения «lite – ride here, ride now», «Зеленый город» и «Matur.city» передают системные данные о геолокации в открытом доступе. То есть, текущее местонахождение пользователя может отследить кто угодно. Однако, все приложения продемонстрировали безопасную передачу данных пользователя. Значит, что персональные и платежные данные будут в безопасности.  

Согласие пользователя на передачу и обработку данных запрашивается у всех исследованных приложений, но активное согласие зотят только 24% сервисов.

Уязвимые места в приложениях онлайн-проката 

Самая распространенная уязвимость, по мнению экспертов Роскачества, это использование незащищённого протокола HTTP и небезопасная собственная реализация SSL. У 22% приложений зафиксировано внедрение в запрос к базе данных SQLite, обращение к DNS у 82% приложений. 

«Мобильные приложения для аренды велосипедов и самокатов с низким уровнем защищенности способны поставить под удар большой объем чувствительных данных о пользователе. Это могут быть ФИО, номер телефона, email, геолокация, номер банковской карты и другое. Защита этих сведений входит в зону ответственности разработчиков. Исследуемые популярные в России сервисы показали высокий уровень защищенности. При этом не стоит забывать, что каждая новая версия приложения требует анализа качества программного кода и его защищенности, — рассказывает директор центра Solar appScreener компании «Ростелеком-Солар»Даниил Чернов. 

В целом, политики конфиденциальности всех приложений получили достаточно высокие оценки. Из недостатков - не все приложения указывают в документе информацию о хранении данных на территории РФ – она отсутствует у 9% приложений, среди них можно отметить MOLNIA, VEZU и Red Wheels. У Bike&Go и GoBike предусматривается возможность трансграничной передачи персональных данных. У GreenBee, «Зеленого Города» и Seagull правообладателем всей персональной информации, полученной в рамках пользования сервисом, является ИП. 

«Пользователи любых сервисов должны осознавать, что все их действия с приложениями, даже такие незначительные как разблокировка велосипеда или самоката, имеют свой цифровой след и определенные последствия. Так, почти все приложения делятся вашими данными с третьими лицами, пусть и обезличенными. В любом случае пользователю следует придерживаться общих принципов безопасности: следить за доступами, которые требует приложение, указывать только необходимый минимум данных о себе. Не следует отправлять сканы документов или привязывать платежные данные к подозрительным приложениям, в надежности которых пользователь не уверен», - отметил генеральный директор АНО «ПравоРоботов» Никита Куликов.