Nyolc kerékpárkölcsönző alkalmazást és 27 kickshare alkalmazást vizsgáltak mindkét mobilplatformon: Bike&Go, BikeMe, Bumerang Lifcar , BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Almetyevsk, GreenBee, lite, LuckyBike, Matur.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamocat, VeloBike, VeloBike MultiCity, Green City, Carousel, CityMobile.
Hány kerékpár és robogó van Magyarországban?
Az Magyarországi robogó bérleti piac virágzik. Az év végére az előrejelzések szerint 300%-kal nő: 10 milliárd forintben kifejezve. Ha 2023 elején Magyarországban nem volt több mint 10 ezer robogó, idén április szerint a kerékpáros számlák összes üzemeltetője számára már körülbelül 85 ezer, és ez nem a határ. A mikro-mobil közlekedési szolgáltatásokba való beruházási szándékukat olyan nagyvállalatok fejezték ki, mint a Yandex, a posta, az MTS és a Sberbank. Az Urent és a Whoosh szolgáltatások teszik ki a forgalom túlnyomó többségét – körülbelül 60 000 robogó.
A kerékpárkölcsönző piac lassabban fejlődik: 2023 őszén 662 kerékpárkölcsönző működött Budapest, 6,5 ezer kerékpárral. Idén tavasszal 67 új kölcsönzőállomással és 1000 új kerékpárral bővül a kínálat, amelyek fele elektromos. Ez már olyan városokhoz hasonlítható, mint London 18 ezer vagy New York 8 ezer . Idén a kerékpárkölcsönzési szezon a szokásosnál egy hónappal korábban, április elején kezdődött. A Budapesti közlekedési minisztérium ezt azzal magyarázta, hogy egy járványos évben a lakosság körében nagy volt a kereslet a kerékpárkölcsönzésre az alkalmazáson keresztül több mint 8 millió utazás .
Miközben a közlekedési rendőrség a mikro-mobilitási járművekkel kapcsolatos balesetek számának növekedését regisztrálja, a kormány azt fontolgatja, hogy a robogókat a járművekkel egyenértékűvé teszi a sebességek korlátozása, és ezáltal az áldozatok számának csökkentése érdekében. De egyre több felhasználója van a bérleti alkalmazásoknak. A Roskatchestvo értékelte az ilyen alkalmazások információbiztonságát és figyelmeztetett a kockázatokra.
A legtöbb kerékpárkölcsönző és kickshare szolgáltatás ugyanolyan egyszerű rendszer szerint működik:
– Töltse le a mobilalkalmazást, és végezze el a regisztrációs folyamatot.
– Válassza ki a fizetési módot és a viteldíjat, ha a szolgáltatás biztosítja.
– Keresse meg a legközelebbi bázist vagy robogót a térképen.
– Közelítse meg a járművet, és aktiválja azt az alkalmazás utasításait követve.
A Kickshare és a kerékpárkölcsönző szolgáltatások információbiztonságának ellenőrzésekor a Roskatchestvo a PravoRobot jogászaival együtt elemezte az adatvédelmi irányelveket is. Összesen 68 alkalmazást vizsgáltak 34-et iOS-re és Androidra . A tanulmány olyan alkalmazásokra terjedt ki, amelyek a tesztelés idején lehetőséget kínáltak a mikro-mobil közlekedés bérlésére, mind a fővárosban működő, mind a regionális szolgáltatások esetében.
Az alkalmazás biztonságosságát nyolc kritérium alapján értékelték:
● Minimális kért felhasználói adatok
A szükséges engedélyek igénylése
● Alkalmazási adatok biztonsága
● A felhasználói adatok biztonságos továbbítása
● Hozzájárulás az adatfeldolgozáshoz és -tároláshoz
Link az adatvédelmi szabályzathoz
● Jelszó összetettsége
● Fiók törlése
Az Android alkalmazásokat a Solar appScreener sebezhetőségi elemző segítségével is tesztelték a potenciális sebezhetőségek szempontjából. Az alkalmazások nagy része hasonló architektúrával rendelkezik, ahol csak a design és a tartalom változik.
Jelszó összetettsége
A vizsgált kerékpárkölcsönző szolgáltatások közül kettő kivételével mindegyik rendelkezik egyszeri SMS-kóddal az alkalmazásban, ami növeli a biztonságot és kiküszöböli annak kockázatát, hogy mások harmadik fél fiókja alatt béreljenek kerékpárt vagy robogót. Csak a VeloBike – Moscow City Bike Rental és a Velobike Multicity mutatott alacsonyabb szintű biztonságot. Ezek az alkalmazások egyszeri bejelentkezést és PIN-kódot küldenek, amely idővel nem változik. Miután megtanulta a bejelentkezés és a jelszó egy rosszindulatú elkövető potenciálisan használhatja a szolgáltatást saját céljaira, például, hogy lovagolni rovására valaki más kapcsolódó kártya vagy akár ellopni a szállítás, ami után a szolgáltatás lesz kérdések a számla tulajdonosa: ő kell bizonyítani, hogy nem volt hibás. Például, ha a kerékpárt a bérlés 48 órája után nem adják vissza,
„A Bike&Go 30 ezer forintes bírságot szab ki a számlatulajdonosra. Más kerékpárkölcsönző alkalmazások hasonló büntetésekkel néznek szembe.
Csak a minimálisan szükséges felhasználói adatok bekérése
Jellemzően egy online kerékpárkölcsönző szolgáltatásba való bejelentkezéskor hajlamosak vagyunk a lehető legkevesebb személyes adatot megadni, de egy kölcsönző szolgáltatás esetében az alkalmazások 21%-a kér bővített adatokat. Különösen a Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamocat, Bike&Go esetében szükséges a kereszt- és vezetéknév. Az E-motion volt az egyetlen olyan alkalmazás, amely a regisztráció során útlevél- vagy jogosítványképet kért de ez a lépés a regisztráció során látható következmények nélkül kihagyható .
Csak a szükséges engedélyeket kérje
Egy alkalmazás információbiztonságát nagymértékben meghatározza a hozzáférése. A mikromobil bérleti alkalmazás teljes körű működéséhez mindössze kettőre van szükség: egy helymeghatározási kérelemre és a kamerához való hozzáférésre a QR-kód beolvasásához . Minden más hozzáférést feleslegesnek ítéltek a kutatásban. A BusyFly esetében volt a legtöbb redundáns hozzáférés: telefonhívások kezdeményezése, alvó üzemmód kikapcsolása, valamint a készülék bekapcsolásakor történő indítás. A BikeMe fiókokat keres az eszközön, és a ScooBee engedélyt kér az összes ablak megjelenítésére – ez az egyik legveszélyesebb hozzáférés. Az elemzett Android-alkalmazások 85%-a nem kér hozzáférési redundanciát; az iOS esetében ez a szám az operációs rendszer jellegéből adódóan még magasabb.
Fiók törlése
A szakértők által vizsgált alkalmazások közül a Whoosh kivételével egyik sem teszi lehetővé a felhasználók számára, hogy a programban implementált funkcióval töröljék fiókjukat. Ez azonban megtehető a következő címen. Fejlesztői Eleven szolgáltatás ígérte Roskatchestvo, hogy hozzá a fiók törlése opciót a következő frissítéseket.
Adatátvitel biztonsága
A kutatás során a Roskatchestvo szakértői elemezték az alkalmazások által továbbított adatokat, a forgalmat speciális szoftverek segítségével lehallgatva. Három alkalmazás rendelkezik a rendszer geolokációs adataival a nyilvánosság számára: „lite – ride here, ride now”, „Green City” és „Matur”.város”. Kívánság esetén lehetőség van a felhasználó aktuális tartózkodási helyének ilyen módon történő nyomon követésére, de gyakrabban előfordul, hogy egy személy elküldi geolokációs adatait, amikor robogót vagy kerékpárt bérel a szabadban. Ez minimálisra csökkenti annak kockázatát, hogy egy behatoló behatoljon a csatornába, és manipulálni tudja a továbbított adatokat. Ami még ennél is fontosabb, minden alkalmazás a felhasználói adatok biztonságos továbbítását bizonyította. Tehát a személyes és fizetési adatok biztonságban lesznek a Roskachevo által vizsgált alkalmazások használata során.
Hozzájárulás az adatfeldolgozáshoz és -tároláshoz
A modern online szolgáltatások nyújtása során a felhasználók hozzájárulása az adataik megosztásához és feldolgozásához kritikus alapelv. A hozzájárulás valamilyen formáját a megkérdezett alkalmazások 100%-a kéri, de csak 24%-uk kér aktívan hozzájárulást.
Biztonsági rés az online robogó- és kerékpárkölcsönző alkalmazásokban
A szakértők a Solar appScreener speciális szoftver segítségével értékelték az alkalmazások potenciális sebezhetőségeit és dokumentálatlan funkcióit is. A legjelentősebb és legelterjedtebb potenciális sebezhetőség a nem biztonságos HTTP protokoll használata az Android-alkalmazások 90%-a , hasonlóan a nem biztonságos natív SSL implementációkhoz 34% . Az SQLite adatbázis-lekérdezéseket az alkalmazások 22%-ában, a DNS-lekérdezéseket pedig az alkalmazások 82%-ában észlelték. A legtöbb alkalmazásban a titkosítási algoritmus jól van megvalósítva, a vizsgált alkalmazások mindössze 12%-a mutat potenciális sebezhetőséget.
Daniel Chernov, a Rostelecom Solar Solar appScreener központjának igazgatója.
„Az alacsony biztonságú kerékpár- és robogókölcsönzésre szolgáló mobilalkalmazások nagy mennyiségű érzékeny felhasználói adatot veszélyeztethetnek. Ez lehet név, telefonszám, e-mail cím, földrajzi helymeghatározás, bankkártya száma és így tovább. Ezen információk védelme a fejlesztők felelőssége. A megkérdezett népszerű Magyar szolgáltatások magas szintű biztonságot mutatnak. Nem szabad azonban elfelejtenünk, hogy az alkalmazás minden egyes új verziója megköveteli a kód minőségének és biztonságának elemzését
Jogi értékelés
Az összes alkalmazás adatvédelmi irányelvei meglehetősen magas pontszámot kaptak. Hátránya, hogy nem minden alkalmazás tünteti fel az adattárolást a dokumentumban – az alkalmazások 9%-a nem, köztük a MOLNIA, a VEZU és a Red Wheels. A fejlesztő köteles feltüntetni a szabályzatban a harmadik felek összes azonosítóját, beleértve az INN vagy OGRN nevet is, de ezek az adatok az esetek 53%-ában hiányoznak. A Bike&Go és a GoBike lehetőséget biztosít a személyes adatok határokon átnyúló továbbítására. A GreenBee, a Green City és a Seagull esetében a szolgáltatás használatával szerzett valamennyi személyes adat tulajdonosa az IE. És a Velobike hivatalosan tiltja a bérelt kerékpár használatát üzleti partnerségek és cégek tulajdonosi hozzájárulásaként.
Nikita Kulikov, vezérigazgató, PravoRobotov
„Bármely szolgáltatás felhasználóinak tisztában kell lenniük azzal, hogy az alkalmazásokkal végzett minden műveletüknek, még az olyan kisebbeknek is, mint a kerékpár vagy a robogó feloldása, digitális lábnyoma van, és bizonyos következményekkel jár. Tehát szinte minden alkalmazás megosztja adatait harmadik felekkel, bár névtelenül. A felhasználónak minden esetben követnie kell az általános biztonsági elveket: tartsa szemmel az alkalmazás által megkövetelt hozzáférést, és csak a minimálisan szükséges adatokat adja meg magáról. Nem szabad dokumentumokat szkennelve elküldeni, vagy a fizetési adatokat olyan gyanús alkalmazásokhoz kapcsolni, amelyekben a felhasználó nem biztos.”.
Anton Kukanov, a Roskatchestvo Digitális Szakértői Központjának vezetője megosztja a tanulmány eredményeit:
„A vizsgált kerékpár- és robogókölcsönző alkalmazások többnyire magas színvonalon valósultak meg, és ugyanolyan biztonságosnak találták őket. Az elemzésükből származó megfigyelések egyike sem érinti a közvetlen felhasználói élményt. „Az egyetlen pont, amit érdemes megjegyezni, hogy a bejelentkezés és a PIN-kód nem változik az idő múlásával, ami elméletileg felhasználható lenne jogosulatlan hozzáférésre.”.
Következtetések és ajánlások
A vizsgált kerékpár- és robogókölcsönző alkalmazások többnyire magas színvonalon valósultak meg. Az elemzésből származó észrevételek közül gyakorlatilag egyik sem érinti a közvetlen felhasználói élményt. Az egyetlen nem kritikus pont, amelyre érdemes rámutatni a szolgáltatás nagyságrendjét tekintve , hogy a bejelentkezés és a PIN-kód nem változik az idő múlásával, ami elméletileg felhasználható jogosulatlan hozzáférésre a Budapesti Városi Kerékpárkölcsönző és annak Multicity változata esetében . Minden alkalmazás egyformán biztonságosnak bizonyult, nem találtunk bizonytalan alkalmazásokat.
Általánosságban elmondható, hogy a kerékpár- és robogókölcsönző alkalmazások használatának kockázatai nem valószínűsíthetőek. A Roskatel a piac nagy szereplőitől származó alkalmazásokat ajánlja használatra. Legyen azonban óvatos, amikor kevéssé ismert szolgáltatásokból tölt le alkalmazásokat, és minden esetben mindig figyeljen az általuk igényelt hozzáférésekre, amikor telepíti őket. A szolgáltatás kiválasztásakor tartsa szem előtt, hogy saját lefedettségi területeket és parkolókat biztosítanak, ami fontos az útvonal megtervezésekor.
Mi a véleménye az általam bérelhető kerékpárokat és robogókat bemutató alkalmazásokról? Ajánlja valamelyiket a személyes tapasztalataival alátámasztva?