Роскачество - о слабых местах приложений по аренде самокатов и велосипедов

Роскачество опубликовало результаты нового исследования. На этот раз в поле зрения экспертов попали приложения по аренде самокатов и велосипедов.

   
   

Рынок аренды самокатов в России стремительно растёт – по прогнозам специалистов, до конца текущего года он вырастет на 300% - до 10 млрд рублей. Если в начале 2020 года в стране было не более 10 тысяч самокатов, то в апреле 2021-го – около 85 тысяч, и это не предел. О планах инвестировать в сервисы микромобильного транспорта заявили такие крупные компании, как Яндекс, mail.ru, МТС и Сбербанк. Однако большая часть транспорта – около 60 тысяч самокатов – приходится на сервисы Urent и Whoosh.

Рынок аренды велосипедов развивается медленнее. Осенью 2020 года в Москве работали 662 пункта проката, обслуживающих 6,5 тысяч велосипедов, минувшей весной к ним добавились 67 новых станций проката и 1000 двухколёсных машин, половина которых - электрические.  Это сопоставимо с такими городами, как Лондон (18,5 тысяч велосипедов) и Нью-Йорк (8 тысяч).

В настоящее время количество аварий с участием микромобильного транспорта растёт, в связи с чем правительство рассматривает вопрос о приравнивании самокатов к транспортным средствам. Это позволит ввести для них ограничения скорости и, как следствие, уменьшить число жертв. При этом приложений, позволяющих взять в аренду велосипед или самокат, становится всё больше.

Специалисты Роскачества совместно с юристами АНО «ПравоРоботов» проанализировали политику безопасности 68 кикшеринговых и велопрокатных сервисов (по 34 приложения для iOS и Android). Оценивалась безопасность по восьми критериям:

  • Запрос минимально необходимых пользовательских данных;
  • Запрос необходимых разрешений;
  • Безопасность передачи данных приложения;
  • Безопасность передачи пользовательских данных;
  • Согласие на обработку и хранение данных;
  • Ссылка на политику конфиденциальности;
  • Сложность пароля;
  • Удаление аккаунта.

Исследователи установили, что все изученные сервисы аренды велосипедов, кроме двух, имеют доступ в приложение по одноразовым SMS-кодам. Это повышает надежность и исключает риск того, что под сторонней учетной записью велосипед или самокат будут арендовать другие люди. Более низкий уровень безопасности продемонстрировали только сервисы «ВелоБайк - городской велопрокат Москвы» и «Велобайк Мультигорода». Эти приложения присылают разовый логин и PIN-код, который не меняется со временем.

При авторизации 21% сервисов онлайн-проката запрашивают расширенные данные запрашивает. В частности, приложения Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Берисамокат, Bike&Go требуют имя и фамилию. Единственным приложением, которое при регистрации просит фото паспорта или водительского удостоверения, - E-motion.    
   

Что касается избыточных доступов, то наибольшее их количество было зафиксировано у BusyFly: осуществление телефонных вызовов, отключение спящего режима, а также запуск при включении устройства. BikeMe осуществляет поиск аккаунтов на устройстве, а ScooBe‪e запрашивает разрешение на показ поверх всех окон - это один из самых потенциально опасных доступов.

Эксперты также установили, что единственным приложением, которое позволяет удалить аккаунт при помощи имеющихся в программе функций, является Whoosh. В случаях с другими сервисами нужно обращаться в службу поддержки.

Важнейшим принципом при предоставлении онлайн-услуг является согласие пользователя на обработку данных. В том или ином виде такое согласие запрашивают все исследованные приложения, при этом активное согласие запрашивают только 24%. «Мобильные приложения для аренды велосипедов и самокатов с низким уровнем защищенности способны поставить под удар большой объем чувствительных данных о пользователе, - рассказывает Даниил Чернов, директор центра Solar appScreener компании «Ростелеком-Солар». - Это могут быть ФИО, номер телефона, email, геолокация, номер банковской карты и другое. Защита этих сведений входит в зону ответственности разработчиков. Исследуемые популярные в России сервисы показали высокий уровень защищенности. При этом не стоит забывать, что каждая новая версия приложения требует анализа качества программного кода и его защищенности».

Никита Куликов, генеральный директор АНО «ПравоРоботов»: «Пользователи любых сервисов должны осознавать, что все их действия с приложениями, даже такие незначительные как разблокировка велосипеда или самоката, имеют свой цифровой след и определенные последствия. Так, почти все приложения делятся вашими данными с третьими лицами, пусть и обезличенными. В любом случае пользователю следует придерживаться общих принципов безопасности: следить за доступами, которые требует приложение, указывать только необходимый минимум данных о себе. Не следует отправлять сканы документов или привязывать платежные данные к подозрительным приложениям, в надежности которых пользователь не уверен».

Руководитель Центра цифровой экспертизы Роскачества Антон Куканов: «Исследованные приложения аренды велосипедов и самокатов в большинстве своем реализованы на высоком уровне и признаны в равной степени безопасными. Ни одно из замечаний, которые можно предъявить по результатам их анализа, не влияет на непосредственный пользовательский опыт. Единственный момент, на который стоит обратить внимание – не меняющийся со временем логин и PIN-код, который теоретически можно использовать для постороннего доступа».

В исследовании оценивались следующие приложения на двух мобильных платформах: Bike&Go, BikeMe, Bumerang (Lifcar), BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Альметьевск, GreenBee, lite, LuckyBike, Matur.city, MOLNIA, Red Wheels, Rusharing, Samocat Sharing, ScooBe‪e, Seagull, Shark Sharing, SmartBike, toGO, Urent, VEZU, Volt, Whoosh, YES Sharing, ZEVS, «Берисамокат», «ВелоБайк», «Велобайк Мультигород‪а», «Зеленый город», «Карусель», «Ситимобил».