Эксперты Роскачества опубликовали результаты нового исследования и назвали главные уязвимости приложений для аренды самокатов и велосипедов.
Сегодня в России наблюдается стремительный рост рынка аренды самокатов. До конца года прогнозируется его увеличение на 300%, что в денежном эквиваленте равняется 10 миллиардам рублей. Как отмечают специалисты, в начале 2020 года в России число самокатов не превышало 10 тысяч. Уже по данным на апрель текущего года на всех операторов кикшеринга приходится уже около 85 тысяч. И это не предел.
Намерения инвестировать в сервисы микромобильного транспорта высказали такие крупные компании, как Яндекс, mail.ru, МТС и Сбербанк. Абсолютное большинство транспорта — а это почти 60 тысяч самокатов — приходится на долю сервисов Urent и Whoosh.
Чуть медленнее развивается рынок аренды велосипедов. Осенью 2020 года в Москве работали 662 пункта проката велосипедов. Они обслуживали 6,5 тысячи велосипедов. Весной 2021-го к ним добавилось 67 новых станций проката и 1000 новых велосипедов, половина из которых — электрические. Такие показатели ставят российскую столицу в один ряд с Лондоном и Нью-Йорком.
В этом году сезон велопроката начался на месяц раньше обычного, в первых числах апреля. Дептранс Москвы объяснил это тем, что в год пандемии услуга проката велосипеда через приложение стала очень востребованной у населения. В столице было совершено более 8 миллионов поездок.
стати, сейчас Правительство России рассматривает возможность приравнять самокаты к транспортным средствам. За счет их небольшой скорости можно будет снизить число жертв ДТП с участием микромобильного транспорта.
На фоне растущего числа предложений об аренде велосипедов и самокатов растет и число пользователей приложений. Роскачество оценило информационную безопасность таких приложений и предупредило о рисках.
Как отмечают специалисты, большинство сервисов велопроката и кикшеринга работают по одинаковой несложной схеме:
- пользователь скачивает приложение и регистрируется;
- выбирает способ оплаты и тариф, если это предусмотрено в сервисе;
- находит на карте ближайшую базу или самокат.
- активирует согласно инструкции выбранное транспортное средств.
Эксперты Роскачества совместно с юристами из АНО «ПравоРоботов» также проанализировали политику конфиденциальности кикшеринговых и велопрокатных сервисов. Всего было изучено 68 приложений для операционных систем iOS и Android. В исследование попали приложения, которые на момент тестирования предоставляли возможность аренды микромобильного транспорта. При этом изучались как работающие в столице, так и региональные сервисы.
Безопасность приложение специалисты оценивали по восьми критериям:
— запрос минимально необходимых пользовательских данных;
— запрос необходимых разрешений;
— безопасность передачи данных приложения;
— безопасность передачи пользовательских данных;
— согласие на обработку и хранение данных;
— ссылка на политику конфиденциальности;
— сложность пароля;
— удаление аккаунта.
Дополнительно на наличие потенциальных уязвимостей проверялись приложения для Android.
Как правило, доступ почти во все такие сервисы происходит по одноразовым SMS-кодам. Это исключает риск того, что под учетной записью одного пользователя транспорт арендуют другие люди. Разовый логин и PIN-код, который не меняется со временем, присылают только два из 68 приложений. Это снижает уровень безопасности и может привести к тому, что приложением будут пользоваться мошенники, но платить все равно придется держателю привязанной к нему карты. Например, за возврат велосипеда в неположенное время клиента могут оштрафовать на сумму до 30 тысяч рублей.
Для полноценной работы приложения аренды микромобильного транспорта необходимы только два: запрос местоположения и доступ к камере (чтобы отсканировать QR-код). Все остальные доступы в рамках исследования эксперты сочли избыточными. Так, 85 % проанализированных приложений на платформе Android избыточный доступ не запрашивают, на IOS эта цифра еще выше в силу особенностей самой операционной системы.
Подавляющее число приложений не позволят удалить свой аккаунт при помощи встроенной функции. Для этого пользователям необходимо будет обратиться в службу поддержки сервисов
Важнейшим принципом при предоставлении современных онлайн-услуг является согласие пользователя на передачу и обработку своих данных. Согласие в том или ином виде запрашивается у всех 100% исследованных приложений. Однако именно активное согласие запрашивают только 24%.
В ходе исследования специалисты также выявили уязвимые места в приложениях онлайн-проката самокатов и велосипедов. Наиболее значимая и распространенная потенциальная уязвимость — это использование незащищённого протокола HTTP.
По итогам исследования эксперты Роскачества заключили, что исследуемые в России сервисы показали высокий уровень защищенности. При этом у 53% разработчиков отсутствуют данные третьих лиц (в т.ч., ИНН или ОГРН). Еще у 9% приложений в документации политики конфиденциальности отсутствует информация о хранении данных на территории РФ.
Как отмечает руководитель Центра цифровой экспертизы Роскачества Антон Куканов, в большинстве своем приложения аренды велосипедов и самокатов реализованы на высоком уровне и признаны в равной степени безопасными. Ни одно из замечаний, которые можно предъявить по результатам их анализа, не влияет на непосредственный пользовательский опыт. Единственный момент, на который стоит обратить внимание – не меняющийся со временем логин и PIN-код, который теоретически можно использовать для постороннего доступа.