Roskachestvo feltárja a bizonytalan taxi alkalmazásokat

A Roskatchestvo Digitális Szakértői Központja felmérést készített a 20 legnépszerűbb mobil taxirendelő alkalmazásról. Mivel a taxi szolgáltatások gyűjtik és tárolják a személyes és fizetési adatainkat, a biztonsági kritérium tekintetében hibátlan eredményeket kell felmutatniuk. Több mint 60 kevéssé ismert alkalmazás információbiztonságát is elemezték. Sajnos nem mindegyik bizonyult biztonságosnak.

A taxipiac 2023 óta gyorsan növekszik és változik. 2023-ben több szolgáltatást, köztük a Roskachevo által korábban elemzett Veset és Rutaxi-t is felvásárolta a Yandex, ami növelte a teljes részesedését, és abszolút vezetővé tette a jelenlétben 40% összességében, 67% az aggregátorok között, a Forbes szerint 2023 szeptemberétől .

A Roskatchestvo 20 alkalmazást tesztelt, hogy kiderítse, mennyire működőképesek, minőségiek és biztonságosak a taxirendelési alkalmazások: 10-et iOS és Android rendszerre. És a „PravoRobotov” jogászai megvizsgálták a szolgáltatás adatvédelmi politikáját a „Személyes adatokról” szóló szövetségi törvénynek való megfelelés érdekében № 152-FZ a 27.07.2006 , és kiemelte azokat a negatív és pozitív szempontokat, amelyeket a felhasználóknak figyelembe kell venniük.

Szergej Bodrov, a Roskachevo Digitális Szakértői Központ vezetője.

„A vizsgálat során a szakértők hétköznapi felhasználóként használták az alkalmazásokat: taxit rendeltek és körbejárták a várost, elemezték az alkalmazás működését és funkcionalitását, címeket adtak hozzá a kedvencekhez és megrendeléseket kértek, tanulmányozták a sofőrprofilokat a sofőrökre, autókra, fuvarozó cégre vonatkozó információkat és más tipikus használati forgatókönyveket dolgoztak ki. Emellett az alkalmazások biztonsági tesztelését speciális szoftverrel végezték el. Ennek eredményeképpen az összes kulcsfontosságú funkciót teszteltük, értékelve a kényelmet, az információbiztonságot, valamint a taxirendelési alkalmazások teljesítményét és megbízhatóságát.”

A felmérés eredményei szerint a vezető alkalmazás változatlan maradt Yandex Go , a Taxovichkof vesztett, a Citimobile pedig javította pozícióját, és most mindkét platformon iOS és Android a harmadik helyen áll.

A teszteredmények szerint a legjobban működő alkalmazások a Yandex Go, a Taxovichkof mindkét platformon és az Uber Androidon, valamint a Citimobile iOS-en. A felmérés szerint a legfelhasználóbarátabb alkalmazások a Yandex Go, a Taxovitchkof és a maxim Androidon, valamint a Taxovitchkof és a maxim iOS-en. A biztonság tekintetében az összes népszerű alkalmazás jól teljesített, a legtöbb 3,5 vagy magasabb pontszámot kapott. Néhány Android-alkalmazást visszaminősítettek a felhasználói adatok „nyomkövetői” miatt.

A tanulmányban részt vevők mindegyike magas szinten valósította meg a funkciók többségét. A Gett és a DiDi azonban nem teszi lehetővé a taxi hívását a cím megadása nélkül, nem minden alkalmazás mutatja a távolságot az autótól a felhasználóig: a funkció hiányzik a Pokhely, a Taxovychkof és a maxim alkalmazásból. A DiDi Android verziója nem jeleníti meg az épületeket a térképen. Csak Taxovitchkof, Yandex.Go”, „Citymobile” és az Uber újra kiválaszthatja a legutóbbi utazási címet.

A következő fontos pont a felhasználó számára, ha már kiválasztotta az autót, és az autó ki van jelölve, a járművezető és az autó profilja. A szakértők becslése szerint rendelkezésre áll a sofőr teljes neve, fényképe és minősítése, az autóra vonatkozó információk, a fuvarozó cégre vonatkozó információk, a sofőr taxiszolgáltatásban való nyilvántartásba vételének időpontjára vonatkozó adatok.

Az előző felméréshez hasonlóan az alkalmazások között továbbra is jelentős eltérések vannak a tekintetben, hogy mennyire teljes a sofőrprofil, a Pohodlya, az Omega és a TapTaxi esetében a sofőrprofil virtuális hiányától a Yandex Go, a DiDi és a Gett esetében a teljesen informatív fényképes kártyáig.

A következő fontos kritériumcsoport a felhasználó számára a fuvarozás iránti vágy. Ha a felhasználónak kisgyermeke, nehéz poggyásza vagy háziállata van, a megfelelő szűrők megléte elengedhetetlen. Amint a kutatásból kiderül, az ilyen szűrők hiánya még mindig problémát jelent néhány alkalmazás számára. A DiDi, a Gett, a TapTaxi és az Uber kínálja a legkevesebb lehetőséget a fuvarkívánságok teljesítésére.

Ezenkívül értékelték az SOS gomb elérhetőségét: Omega, Let’s Go, Yandex Go és maxim, valamint DiDi és Citimobile. A funkció lehetővé teszi a 112-es hívószám egy érintéssel történő tárcsázását, vagy a helymeghatározási adatok megosztását megbízható kapcsolatokkal. Ez a funkció egyesek számára kulcsfontosságú lehet a szolgáltatás kiválasztásakor.

A legutóbbi felméréshez képest észrevehetően népszerűbbé vált az a lehetőség, hogy egy adott járművezetőt feketelistára lehessen tenni az alkalmazásban a legtöbben ezt egy támogatási kérésen keresztül valósítják meg, de vannak olyanok is, akik közvetlenül a járművezető letiltására adnak lehetőséget . A felhasználói értékelés bemutatását a járművezetői értékeléshez hasonlóan értékelés nélkül tartották, csak a Yandex Go rendelkezik vele az utasok számára nyíltan. A Citimobile hasonlóan értelmes felhasználói fiók szintje van.

Az alkalmazások biztonsági vizsgálata során a szakértők azt vizsgálták, hogy a szolgáltatás csak a minimálisan szükséges felhasználói adatokat és engedélyeket kéri-e, valamint hogy a felhasználó törölni tudja-e a fiókot. Az alkalmazás adatátvitel és a felhasználói adatok biztonságát külön-külön elemezték. A szakértők speciális szoftverrel Wireshark rögzítették az alkalmazás által küldött összes adatforgalmat, majd elemezték a titkosítatlan adatok jelenlétét. Minden alkalmazás sikeresen rögzítette a forgalmat – nem találtunk sebezhetőséget.

Egy új kritériumot is bevezettek: a felhasználóról információkat gyűjtő analitikai nyomkövetők jelenléte. Ezeket a fejlesztők jó céllal adják hozzá – a felhasználói viselkedés elemzése és az információ felhasználása az alkalmazás fejlesztéséhez. A nagyvállalatok például a Facebook vagy a Google ingyenes nyomkövetői azonban további biztonsági kockázatokat rejtenek magukban: anélkül, hogy a felhasználónak bele kellene írnia valamit, az informatikai óriások statisztikai adatokat kapnak a felhasználókról. Emiatt az ilyen nyomkövetők jelenlétét a vizsgálatban hátrányosnak tekintették. Az iOS-alkalmazásokban nem találtak ilyen modulokat, míg az Android-alkalmazások alacsonyabb pontszámot kaptak ezen a kritériumon.

A bankkártya kötése az alkalmazások 60%-ában 3-D Secure segítségével történik. Ez egy szöveges üzenetben küldött kód, amellyel a szolgáltatás ellenőrzi, hogy a kártya valóban Önhöz tartozik-e. Elméletileg a kártya hiánya lehetővé tenné a behatolók számára, hogy valaki más kártyáját a saját számlájához kössék, majd az ellopott kártyával vagy egyszerűen csak az adatainak megszerzésével fizessenek.

Ezenkívül a Roskatchestvo szakértői a Solar appScreener segítségével tesztelték az összes Android alkalmazást sebezhetőségek és NPV-k szempontjából automatikus bináris elemzési technológiával, reverse-engineering forráskód-dekompiláció nélkül. A következő potenciális sebezhetőségeket azonosították: a DNS címzése az esetek 50%-ában, a vizsgált alkalmazások 30%-ában nem biztonságos tükrözés, 20%-ában nem biztonságos natív SSL implementáció. Gyenge hashing algoritmus a vizsgált alkalmazások 80%-ában, nem biztonságos HTTP protokoll használata 70%-ban. SQLite adatbázis-lekérdezés megvalósítása – 20%.

A vizsgálatban szereplő 20 jól ismert alkalmazáson kívül a szakértők további 63 kevésbé népszerű alkalmazás biztonságát is ellenőrizték: 36 Androidon és 27 iOS-en, illetve.

Az iOS platformon csak a felhasználói geolokációs adatokat továbbították nyíltan a megrendeléskor. 6 alkalmazás akadt fenn rajta, köztük a NonStop: taxirendelési szolgáltatás; Taxi Pobeda; DA TAXI Tyumen és Taxi Variant. Androidon a helyzet rosszabbnak tűnik – például a szakértők 2 alkalmazást azonosítottak – „SV-TAXI”. Taxi Call” és „UpTaxi minden város „, amelyek a fent említett földrajzi helymeghatározási adatokon kívül a felhasználók személyes adatait is továbbították a nyilvánosság számára. Az egyik esetben a telefonszám, a másik esetben a hitelesítő adatok telefonszám és jelszó , illetve a készülékmodell. Ez a sebezhetőség az adatok közvetlen veszélyeztetése mellett a csalók új támadásaihoz vezethet a felhasználók ellen.

3 olyan Android-alkalmazást is azonosítottak, amelyek titkosítatlanul továbbították a felhasználói földrajzi helymeghatározási adatokat, nevezetesen a Taxi Order GOST, a My City és a Taxi Saturn+ alkalmazásokat. Az iOS-hez hasonlóan ez a sebezhetőség, bár nem kritikus, digitális biztonsági szempontból még mindig nem kívánatos.

Az Android platformon külön problémát jelentenek a felesleges vagy rejtett alkalmazás-hozzáférések, amelyek rejtett funkciókat biztosítanak az alkalmazásoknak, és bizonyos esetekben akár rosszindulatúak is lehetnek. Például a 36 Android-alkalmazásból 17-nek adtak hozzáférést a telefon állapotára vonatkozó adatokhoz, 36-ból 8-nak a névjegyek megtekintéséhez, 36-ból 6 alkalmazásnak pedig a telefonhívások indításához.

Az olyan alkalmazások közül, ahol az összes felsorolt redundáns hozzáférést igényelték, megemlíthető az „SV-TAXI”. Hívj egy taxit”, „Taxi Nam Puti” és Faem.Taxi. A Roskachestvo nem ajánlja az ilyen alkalmazások letöltését.

A taxirendelési alkalmazások adatvédelmi szabályzatának ellenőrzése a személyes adatokról szóló törvénynek megfelelően 152-FZ., 27. sz., 27. sz.07.2006 a PravoRobotov autonóm nonprofit szervezet jogászai végezték el. Összességében az összes vizsgált alkalmazás jogi szempontból jól teljesített, 4-es vagy annál magasabb pontszámot kapott. Kivételt képezett a Taxovichkof, akinek az alkalmazása a felmérés időpontjában nem rendelkezett adatvédelmi irányelvekre mutató linkkel. A közzététel időpontjában a problémát még nem javították ki. A Taxovychkof kivételével azonban valamennyi szolgálat adatokat továbbított kapcsolt harmadik feleknek.

Az utasszállító taxik utasainak élet- és egészségbiztosítása évek óta állandóan a hatóságok és a társadalom egésze figyelmének középpontjában áll. A kutatás részeként a Roskatchestvo és a PravoRobotov jogászai elemezték a biztosítási információkat a vonatkozó alkalmazásokban. Közülük csak három Citimobile, Yandex.Taxi” és Gett szolgáltatás automatikusan biztosítja az utast az utazás során, az utasbiztosítást pedig egy harmadik félhez szervezik ki. Más szolgáltatások így vagy úgy, de a vészhelyzetekkel kapcsolatos felelősséget a járművezetőkre és/vagy az utasokra hárítják, és arra kényszerítik őket, hogy elfogadják, hogy a fuvarozó valójában „nem nyújt szállítási vagy logisztikai szolgáltatásokat”, és nem fogad el követeléseket beleértve a Yandex tulajdonában lévő Ubert, amely szintén ilyen megfogalmazással rendelkezik .

Stanislav Shvagerus, a Nemzetközi Eurázsiai Taxi Fórum Kompetencia Központjának vezetője.

„Az Magyar Föderációban az utasbiztosítás gyakorlata önkéntes, és valójában az aggregátor versenyelőnye a piacon. Az ilyen biztosítások önkéntes jellege azonban jelentős kockázatokat rejt magában a taxi utasok számára. Ha a kötelező biztosítás egyértelműen meghatározza a fizetési sorrendet, a biztosítási kifizetés összegét a biztosítási törvény és a 34. cikk „a szállítmányozó felelőssége”, a 2007. november 8-i szövetségi törvény határozza meg. N 259-FZ „A közúti közlekedésről és a városi földi elektromos közlekedésről szóló rendeletek”, akkor az aggregátorok felelősségének önkéntes biztosítása esetén a kifizetések eljárását és összegét a biztosító és az aggregátor közötti megállapodás határozza meg. Ezért a taxisok életéért és egészségéért járó tényleges kártérítés rendkívül alacsony”

Különleges esetet jelentenek az úgynevezett „másodrangú” aggregátorok, amelyek még nem kötöttek felelősségbiztosítást vagy nem szerveztek „kártérítési alapokat”. Az ilyen aggregátorok belső szabályzatukban általában rögzítik, hogy „nem felelősek az általuk kötött taxi-közszolgáltatási szerződésért, és az utassal szemben minden felelősséget a taxisofőr visel”. Ezek az aggregátorok figyelmen kívül hagyják, hogy a 2007. november 8-i szövetségi törvény 37. cikke „a megállapodások érvénytelensége” szerint. N 259-fz „A gépjármű- és városi szárazföldi közlekedés chartája”, az ilyen dokumentumok érvénytelenek.

A személytaxik utasainak okozott károk megtérítésére vonatkozó ítélkezési gyakorlat kiterjedt, és a taxis társaságok felelősségét a személytaxik utasainak a személytaxik bérleti szerződése alapján okozott károkért való felelősségének széles körű elismeréséből áll. Ellenőrizze, hogy kedvenc taxifoglalási szolgáltatása megfelel-e a biztonsági előírásoknak és a törvényeknek?

A vizsgálatot a PNST 277-2023 mobilalkalmazások összehasonlító tesztelésére vonatkozó ideiglenes nemzeti szabványon alapuló vizsgálati módszertan szerint végezték.