A Roskachestvo értékelte a taxifoglalási alkalmazásokat és azonosította a bizonytalanokat

A Roskatchestvo Digitális Szakértői Központja felmérést végzett a legnépszerűbb mobilalkalmazásokról a taxirendeléshez. A szakértők kiderítették, hogy melyek a legbiztonságosabb és legfunkcionálisabb szolgáltatások, ezért ajánlott használni őket, és melyeket jobb, ha eltávolítjuk az okostelefonunkról.

A Közvélemény Alapítvány 2023 decemberében készült tanulmánya szerint az Magyarok 66%-a használt taxit az elmúlt évben a nagyobb városokban ez az arány elérte a 73%-ot . Az Magyarok 4%-a az elmúlt évben szinte minden nap, 10%-a hetente többször, 22%-a havonta többször, 29%-a pedig évente többször taxizott. Az Magyar állampolgárok többsége 69% már megszokta a szolgáltatást, és biztonságosnak tartja azt. Valóban ez a helyzet? Roskatchestvo legutóbb 2023 decemberében vizsgálta a mobil taxirendelési alkalmazásokat. Abban az időben a Roskatchestvo-nak sok kérdése volt a mobilalkalmazások biztonságával kapcsolatban.

A Roskachevo 22 alkalmazást tesztelt, hogy kiderítse, mennyire működőképesek, minőségiek és biztonságosak a taxi alkalmazások: 11-et iOS és Android rendszerre. Emellett a kevésbé népszerű taxirendelési alkalmazások biztonságát is elemezték a fő ranglistán kívül. A több mint 100 vizsgált alkalmazás között találtak nem biztonságos alkalmazásokat, amelyekkel így végeztek felmérést.

Az első öt idén nem sokat változott: a Taxovichkof, amely a legutóbbi tanulmányban csak a 7. helyen volt, belépett, míg a 2023-es Uber „ezüstérmese” éppen ellenkezőleg, kiesett a vezetők közül. A Gett-et is visszaminősítették az 5. helyre mindkét platformon. A Yandex Go, a Taxovichkof és a Citimobile alkalmazások Androidon minden kritérium alapján a legjobbnak bizonyultak, míg a Yandex Go, a maxim és a Taxovichkof iOS-en.

A tanulmány során a Roskatchestvo szakértői hétköznapi felhasználóként használták az alkalmazásokat: taxit rendeltek és utaztak, elemezték az alkalmazás működését és funkcionalitását, címeket adtak hozzá a kedvencekhez és a megrendelésekhez, tanulmányozták a sofőrök profilját információk a sofőrökről, autókról, fuvarozó cégről stb. Volt egy további alkalmazásbiztonsági teszt is, speciális szoftverrel. Összesen 139 kritériumot alkalmaztak a taxirendelési alkalmazás összes kulcsfontosságú funkciójára, használhatóságára, biztonságára, teljesítményére és megbízhatóságára.

A Roskatchestvo szakértői által a taxihasználókkal készített mélyinterjúkat és az App Store és a Google Play Market több mint 900 értékelésének szemantikai elemzését vették figyelembe az alkalmazás minőségének becslésénél.

Funkcionalitás

A mobilalkalmazások egyik legfontosabb fogyasztói jellemzője a funkcionalitás. A szakértők ellenőrizték a sofőr- és autókártyákat, az autórendelési funkciót, az utazásra vonatkozó kívánságok gyermekek, csomagok, háziállatok stb. , az előzmények megtekintése, a beállítások funkcionalitása stb.

A szakértők által kiemelt hibák: a DiDi nem jelenítette meg az épületeket a térképen ezt a felmérés befejezése után kiadott verzióban javították , míg a Rutaxi megmutatta a felhasználó tartózkodási helyét. A Gett, a DiDi és a Bolt nem ad lehetőséget arra, hogy egy másik személy számára autót rendeljen. A Didi és a Bolt sem teszi lehetővé, hogy megrendeléskor megadja a fuvart. Gett – az egyetlen taxi, amelynél nincs lehetőség a köztes megállók megadására. A Gett, a Bolt és az Uber nem teszi lehetővé második autó rendelését. A „Gyerünk” és a DiDi nem teszi lehetővé a legutóbbi címek megtekintését. A kártyák értékelésében kívülállók voltak a „Veset” és a „Rutaxi”, amelyek nem rendelkeznek járművezetői kártyával, és csak az autóra vonatkozó információkkal rendelkeznek. A járművezetők fényképe és minősítése az alkalmazások kevesebb mint felében érhető el.

A DiDi nem rendelkezik kívánságlista funkcióval. Csak a maxim, pohodeli és a taxisofőr kérhet segítséget a sofőrtől a beszálláskor – ez különösen fontos a mozgáskorlátozott utasok számára. Meg kell jegyezni, hogy a szolgáltatások felénél nincs lehetőség a poggyászok rendelkezésre állásának vagy a poggyászok elhelyezéséhez szükséges szabad hely megadására.

Az utazás során különböző funkciókat értékeltek, hogy megkönnyítsék az utasok életét. Míg a járművezetővel való kommunikáció a beszállás előtt és a jármű megérkezéséről szóló értesítés minden alkalmazásban alapfunkció, a járművezetőnek a kiszállásról szóló értesítés az utasoldalon ritkább az alkalmazások mindössze 45%-a rendelkezik vele . Az utasok biztonsága szempontjából fontos, hogy a Citimobile, a Gett és a Rutaxi kivételével szinte minden alkalmazásban meg lehet osztani az utazás linkjét harmadik féllel.

Az alkalmazások kevesebb mint fele teszi lehetővé a fizetési mód megváltoztatását utazás közben, míg a többi csak a rendelés pillanatáig. A legritkább funkció a csoportban az SOS-gomb volt: csak a Yandex Go, a DiDi és a Bolt rendelkezik vele. Ez a funkció lehetővé teszi, hogy egyetlen érintéssel tárcsázza a 112-es segélyhívószámot, vagy megossza tartózkodási helyét megbízható ismerőseivel. A „Rutaxi” és a „Taxovichkof” kivételével minden szolgáltatás lehetővé teszi az útvonal módosítását az utazás megkezdése után.

A taxirendelő alkalmazásokat az összes fizetési mód készpénz, készpénzmentes fizetés, Google/Apple Pay elérhetősége, valamint a készpénzmentes fizetés kényelme több kártya összekapcsolása, az adatok automatikus kitöltése a kártya beolvasásával , a borravaló beállításának lehetősége az utazás előtt és után mindkét lehetőség az alkalmazások 45%-ában elérhető alapján értékelték. Készpénzmentes fizetés harmadik féltől származó szolgáltatásokkal, az alkalmazások kevesebb mint fele támogatja, ugyanennyi lehetővé teszi a kártya beolvasását.

Más funkcióktól függetlenül értékelték egy adott járművezető feketelistára való felvételének lehetőségét csak DiDi Androidon, Yandex Go, Gett és Uber iOS-en . A felhasználói értékelés bemutatását a járművezetői értékeléshez hasonlóan értékelés nélkül vettük figyelembe, csak a Yandex Go nyitva áll az utasok számára.

A teszteredmények szerint a legfunkcionálisabb alkalmazások az Androidon – „Yandex Go”, „Taxovichkof” és „Let’s go”. iOS-en – Yandex Go, Taxoviccof és Gett

A funkcionalitás mellett a szakértők az alkalmazások használhatóságát is tesztelték. A szakértők több mint 180 hétköznapi felhasználó bevonásával tesztelték az alkalmazások használhatóságát. A vizsgálat során a felhasználóknak tesztfeladatokat adtak, például a felületen meg kellett találniuk egy olyan opciót, amellyel megjegyzéseket hagyhattak az utazással kapcsolatban, vagy meg kellett változtatniuk a fizetési módot, és elemezték a műveleteiket. Ez lehetővé tette számunkra, hogy értékeljük az alkalmazás felületének áttekinthetőségét és használhatóságát. A felhasználók az Uber és a Yandex applikációkkal voltak a legkényelmesebbek az interakcióban.Menj”.

Csak a Yandex valósította meg teljes mértékben az alkalmazáson belüli segítséget.Go” és az Uber chat vagy visszajelző űrlap, segítség a szolgáltatás használatához, ügyfélszolgálati hívás lehetősége .

A fogyatékkal élők számára történő adaptáció a dinamikus betűtípus és a VoiceOver / Talkback képernyőolvasó támogatása csak a „Taxovichkof”-ban van jelen az Androidon. Az iOS-alkalmazások a platform technikai sajátosságai miatt hagyományosan rosszabbul teljesítenek ezen a kritériumon, egyedül a Citimobile kapott 4 pontot.

A vizsgált alkalmazások mindegyike nem tartalmaz beágyazott reklámanyagot, kivéve a Taxovichkof-ot, amely az ételkiszállítási szolgáltatás beágyazott reklámintegrációjával rendelkezik.

Biztonság

Az információbiztonság nagyon fontos a taxirendelési szolgáltatások esetében, mivel a felhasználó az alkalmazásban megadja a fizetési adatait és bizonyos esetekben személyes adatait. A felmérés során azt vizsgáltuk, hogy a szolgáltatás csak a minimálisan szükséges felhasználói adatokat és engedélyeket kéri-e be. Az alkalmazás és a felhasználói adatok adatátviteli biztonságát külön-külön elemeztük.

Az adatátvitel biztonságának teszteléséhez a szakértők speciális szoftverrel Wireshark rögzítették az alkalmazás által küldött összes adatforgalmat, majd elemezték a titkosítatlan adatokat. A DiDi és a Veset Android-verziói kivételével mindegyik sikeres volt a forgalom lehallgatásában: a Didi titkosítatlanul továbbítja az alkalmazás képeit tartalmát , míg a Veset a felhasználói koordinátákat és a célállomás címét, ami sokkal súlyosabb.

Az adatok lehallgatása után egy csaló potenciálisan nyomon követheti az áldozat célcíméig vezető utat, és ezt az információt célzott támadásokhoz használhatja fel. A DiDi, a Bolt és az Uber kivételével minden alkalmazás rendelkezik bankkártya-csatlakoztatással a 3-D Secure segítségével.

Idén minden alkalmazás biztonságosnak bizonyult, az iOS és Android szolgáltatások 73%-a 4-es vagy annál jobb pontszámot kapott. A DiDi és a Bolt mindkét platformon lecsökkentésre került a regisztráció során történő túlzott adatigénylések miatt.

Ezenkívül a Roskatchestvo szakértői a Solar appScreener segítségével, automatikus bináris elemzési technológiával, reverse-engineering forráskód-dekompiláció nélkül ellenőrizték az összes Android-alkalmazást a sebezhetőségek szempontjából.

Ennek eredményeképpen a következő potenciális sebezhetőségeket tárták fel: az esetek 54%-ában nem biztonságos natív SSL implementáció, 81%-ában nem biztonságos tükrözés, 90%-ában nem biztonságos HTTP, 72%-ában gyenge hashing algoritmus, 9%-ában gyenge titkosítási algoritmus, 18%-ában SQLite adatbázis-lekérdezés injektálása, 90%-ában DNS címzés.

A tanulmányban szereplő 22 jól ismert alkalmazáson kívül a szakértők mintegy száz másik, jóval kevésbé népszerű alkalmazás biztonságát is tesztelték ezek 65%-a Androidra készült .

A Roskachevo által külön vizsgált alkalmazások közül néhányban „lyukakat” találtak, amelyek kellemetlen következményekkel járnak a felhasználók számára. Legalább 5 alkalmazásról derült ki, hogy az utasok koordinátáit védtelenül továbbítja, egyes esetekben a telefonszámot és a modellt, sőt a felhasználók személyes adatait is hozzáadva. Fennáll annak a veszélye, hogy a kiberbűnözők megszerezhetik ezeket az adatokat, amelyeket később felhasználhatnak az áldozat ellen” – mondta Anton Kukanov, a Roszkacsevo Digitális Szakértői Központjának vezetője.

A titkosítatlan telefonszám a Taxi Saturn, a RED TAXI, az UpTaxi és a Taxi GHOST rendelésnél potenciális sebezhetőséget jelent, mivel az adatok lehallgatásával a támadó hozzáférhet az adatokhoz. A telefon konkrét modellje szintén nem kívánatos információ, mivel minden telefonmodell más-más sebezhetőséggel rendelkezik, amelyet a bűnözők kihasználhatnak, ha célzottan megcélozzák az áldozatot. Ez különösen fontos a régebbi okostelefon-modellek esetében.

A személyes adatok a Taxi Saturn esetében a telefonszám és a név kombinációja, ami nagyon érzékeny információ. Koordináták X-Carban a legrosszabb esetben -TAXI -SV és UpTaxi, Taxi, NonStop, egy behatoló megkaphatja a célállomás koordinátáit, de többnyire az aktuális hely koordinátáit továbbítják. Mindezek a sebezhetőségek és hordozzák a potenciális belépni a biztonsági peremén az app. Ezért nem ajánlott a Fi pl. -alkalmazások használata, ha a telefon nyilvános Wi-re van csatlakoztatva, és mobilinternetet használ erre a célra. -étteremben vagy szállodában

Adatvédelmi irányelvek

A taxirendelési alkalmazások adatvédelmi politikáját a „Személyes adatokról szóló” törvénynek megfelelően ellenőriztük № 152-FZ 27. sz.07.2006 a PravoRobotov, egy autonóm nonprofit szervezet jogászai végezték el. Ebben a tanulmányban a 17 vizsgálati paraméterből álló releváns csoport az alkalmazás végső értékelésének 10%-át tette ki.

Az ügyvédek elemezték az irányelveket az Magyar jogszabályoknak való megfelelés szempontjából, és a felhasználók számára fontos kritériumok alapján is ellenőrizték az alkalmazásokat, például a személyes adatok feldolgozásának leállítására vonatkozó feltételek, annak meghatározása, hogy ki a felelős az adatok gyűjtéséért, kiknek továbbítják azokat, valamint a szolgáltatások felhasználói dokumentációjában a szószedet és az Magyar nyelvű lokalizáció megléte. Az utasbiztosításra vonatkozó információkat is ellenőriztük csak magában az alkalmazásban található meg teljes egészében, a többi esetben a dokumentum egy böngészőben nyílik meg .

A Bolt szolgáltatási politikája hivatkozik az adatok harmadik félnek történő továbbítására, kivéve a törvény által előírtakat és a kapcsolt vállalkozásokat, de a harmadik felek listája nincs megadva. Az Uber szabályzatából pedig hiányoznak a feldolgozott személyes adatokra vonatkozó információk. Érdemes megvizsgálni a felhasználók automatikus hozzájárulását a reklámok fogadásához pl. a maxim és a Taxoviccof által .

A Gett még olyan információkat is gyűjt, mint az akkumulátor és a hálózat teljesítménye pl. az akkumulátor állapota és a töltő használata , valamint a fájlnevek, fájltípusok és -méretek a készüléken, beleértve a helyi tárolóeszközön lévő szabad és használt hely mennyiségét is.

A Taxoviccof kivételével valamennyi szolgáltatás adatvédelmi irányelvei tartalmaznak arra vonatkozó utalást, hogy a felhasználói adatok harmadik felekkel megosztásra kerülnek. Ez jellemzően az alkalmazások felhasználói használatára vonatkozó adatok gyűjtését jelenti.

Nikita Kulikov, a.t.n., A PravoRobotov ANO vezérigazgatója

„A tanulmány megállapította, hogy a polgárok szállításával kapcsolatos közvetlen feladataik mellett számos szolgálat túlzott mennyiségű olyan adatot gyűjt, amely nem kapcsolódik közvetlenül a taxirendelési tevékenységhez. Egyes szolgáltatások az Ön adatait harmadik felekkel is megosztják, beleértve a külföldi feleket is. Ebben a tekintetben minden felhasználónak fontos, hogy ne feledje, hogy még a legnyilvánvalóbb helyzetekben is veszélybe kerülhet a személyes adatok védelme.”.

Az adatvédelmi irányelvek negatív és pozitív aspektusait, amelyekre a jogászok szerint érdemes odafigyelni, az egyes alkalmazások kártyáin találja. A kutatást a mobilalkalmazások benchmarkingjára vonatkozó ideiglenes nemzeti szabvány PNST 277-2023 alapján végzett vizsgálati módszertan szerint végeztük