Roskachevo nustatė nesaugias taksi iškvietimo programas

„Roskatchestvo” Skaitmeninės ekspertizės centras atliko 20 populiariausių mobiliųjų taksi užsakymo programėlių apklausą. Atsižvelgiant į tai, kad taksi paslaugos renka ir saugo mūsų asmeninius ir mokėjimo duomenis, jos turi nepriekaištingai atitikti saugumo kriterijų. Papildomai išanalizuotas daugiau kaip 60 mažai žinomų programų informacijos saugumas. Deja, ne visos jos buvo pripažintos saugiomis.

Nuo 2023 m. taksi rinka nuolat auga ir sparčiai keičiasi, 2023 m. kelias paslaugas, įskaitant „Veset” ir „Rutaxi”, kurias anksčiau analizavo „Roskachevo”, įsigijo „Yandex”, dėl to padidėjo jos bendra dalis ir ji tapo absoliučia lydere pagal dalyvavimą 40 proc. bendrai, 67 proc. tarp agregatorių, pagal „Forbes” 2023 m. rugsėjo mėn. duomenis .

Norėdama išsiaiškinti, kokios funkcinės, kokybiškos ir saugios yra taksi užsakymo programėlės, „Roskatchestvo” išbandė 20 programėlių: po 10 „iOS” ir „Android”. „PravoRobotov” teisininkai išnagrinėjo paslaugų privatumo politiką, siekdami išsiaiškinti, ar ji atitinka Federalinį įstatymą „Dėl asmens duomenų” Nr. 152-FZ, 27.07.2006 ir pabrėžė neigiamus ir teigiamus aspektus, į kuriuos naudotojai turėtų atkreipti dėmesį.

Sergejus Bodrovas, „Roskačevo” Skaitmeninės ekspertizės centro vadovas.

„Tyrimo metu ekspertai programėlėmis naudojosi kaip paprasti naudotojai: užsakinėjo taksi ir važinėjo po miestą, analizavo programėlės veikimą ir funkcionalumą, įtraukė adresus į mėgstamiausius ir užsakymų užklausas, nagrinėjo vairuotojų profilius informaciją apie vairuotojus, automobilius, vežėjo įmonę ir dirbo su kitais tipiniais naudojimo scenarijais. Be to, naudojant specializuotą programinę įrangą buvo tikrinamas programų saugumas. Todėl buvo išbandytos visos pagrindinės funkcijos, įvertintas taksi užsakymo programų patogumas, informacijos saugumas, našumas ir patikimumas.”

Remiantis apklausos rezultatais, pirmaujanti programėlė „Yandex Go” išliko tokia pati, „Taxoviccof” prarado pozicijas, o „Citimobile” pagerino savo pozicijas ir dabar yra trečioje vietoje abiejose platformose „iOS” ir „Android” .

Remiantis testo rezultatais, „Yandex Go”, „Taxovychkof” abiejose platformose ir „Uber” „Android”, taip pat „Citimobile” „iOS” yra funkcionaliausios programos. Patogiausios apklausos programėlės – „Yandex Go”, „Taxoviccof” ir „maxim” „Android”, taip pat „Taxoviccof” ir „maxim” „iOS”. Informacijos saugumo požiūriu visos populiarios programėlės buvo gerai įvertintos – dauguma jų gavo 3,5 ir daugiau balų. Kai kurios „Android” programėlės buvo diskvalifikuotos dėl naudotojų duomenų „sekimo” priemonių.

Visi tyrimo dalyviai daugumą funkcijų įgyvendino aukštu lygiu. Tačiau „Gett” ir „DiDi” neleidžia išsikviesti taksi iš anksto nenurodžius adreso, ne visos programėlės rodo atstumą, likusį nuo automobilio iki vartotojo: šios funkcijos nėra programėlėse „Poholyadeli”, „Taxovychkof” ir „maxim”. „DiDi” „Android” versijoje žemėlapyje nerodomi pastatai. Tik Taxoviccof, Yandex.”Go”, „Citymobile” ir „Uber” gali iš naujo pasirinkti neseniai vykusios kelionės adresą.

Pasirinkus automobilį ir priskyrus transporto priemonę, kitas svarbus momentas naudotojui yra vairuotojo ir transporto priemonės profilis. Ekspertai vertino, ar vairuotojo kortelėje yra vairuotojo vardas, pavardė, nuotrauka ir įvertinimas, informacija apie transporto priemonę, informacija apie vežėjo įmonę, duomenys apie vairuotojo įregistravimo taksi tarnyboje datą.

Kaip ir ankstesniame tyrime, vairuotojo profilio užpildymo laipsnis įvairiose programėlėse vis dar labai skiriasi: nuo faktinio vairuotojo profilio nebuvimo programėlėse „Let’s Go”, „Omega” ir „TapTaxi” iki visiškai informatyvios kortelės su nuotrauka programėlėse „Yandex Go”, „DiDi” ir „Gett”.

Kita svarbi naudotojui kriterijų grupė – kelionės pageidavimai. Jei naudotojas turi mažą vaiką, sunkų bagažą ar naminį gyvūną, labai svarbu, kad būtų tinkami filtrai. Kaip parodė tyrimas, kai kuriose programose tokių filtrų trūkumas vis dar yra problema. „DiDi”, „Gett”, „TapTaxi” ir „Uber” turi mažiausiai kelionių pageidavimų galimybių.

Be to, buvo įvertintas SOS mygtuko prieinamumas: jis yra „Omega”, „Potehli”, „Yandex Go” ir „maxim”, taip pat „DiDi” ir „Citimobile”. Ši funkcija leidžia vienu prisilietimu surinkti numerį 112 arba pasidalyti savo buvimo vietos informacija su patikimais kontaktais. Ši savybė kai kuriems žmonėms gali būti lemiama renkantis paslaugą.

Palyginti su ankstesne apklausa, pastebimai populiarėja galimybė programėlėje įrašyti tam tikrą vairuotoją į juodąjį sąrašą dauguma tai daro kreipdamiesi į palaikymo tarnybą, tačiau kai kurie taip pat suteikia galimybę vairuotoją blokuoti tiesiogiai . Vartotojo reitingo demonstravimas panašus į vairuotojo reitingą buvo laikomas neįvertintu, tik „Yandex Go” jį atvirai siūlo keleiviams. „Citimobile” turi panašų naudotojo paskyros lygį.

Tikrindami programėlių saugumą, ekspertai vertino, ar paslauga prašo pateikti tik būtiniausius naudotojo duomenis ir leidimus, taip pat ar naudotojas gali ištrinti paskyrą. Programėlės duomenų perdavimo ir naudotojo duomenų saugumas buvo analizuojamas atskirai. Tam ekspertai, naudodami specializuotą programinę įrangą „Wireshark” , užfiksavo visą programos siunčiamą srautą ir išanalizavo, ar jame yra neužšifruotų duomenų. Visos programos sėkmingai perėmė duomenų srautą – neaptikta jokių nesaugumo požymių.

Taip pat buvo įvestas naujas kriterijus: analitinių sekimo įrenginių, kuriais renkama informacija apie naudotoją, buvimas. Kūrėjai juos prideda turėdami gerų ketinimų – norėdami analizuoti naudotojų elgseną ir panaudoti šią informaciją programai kurti. Tačiau nemokami didelių korporacijų pvz., „Facebook” ar „Google” sekimo įrenginiai kelia papildomą saugumo riziką: IT milžinai gauna statistinius duomenis be jokio vartotojo poreikio. Dėl šios priežasties tokių sekimo prietaisų buvimas tyrime buvo laikomas trūkumu. „iOS” programėlėse tokių modulių nerasta, o „Android” programėlėse šis kriterijus įvertintas prasčiau.

Šešiasdešimt procentų programėlių turi banko kortelių susiejimą naudojant „3-D Secure” protokolą. Šis kodas siunčiamas SMS žinute, kad tarnyba patikrintų, ar kortelė tikrai priklauso jums. Teoriškai, jei jos nebūtų, kibernetiniai nusikaltėliai galėtų susieti svetimą kortelę su savo sąskaita ir vėliau atlikti mokėjimą pavogta kortele arba tiesiog surinkti jos duomenis.

Be to, „Roskatchestvo” ekspertai patikrino visas „Android” programėles, ar jose yra pažeidžiamumų, ir „Solar appScreener” NPV, naudodami automatizuotą dvejetainės analizės technologiją, be atvirkštinio inžinerinio tyrimo šaltinio kodo dekompiliavimo . Nustatytos šios galimos pažeidžiamosios vietos: 50 % atvejų – DNS adresavimas, nesaugus atspindys aptiktas 30 % tirtų programų, 20 % – nesaugus vietinis SSL įgyvendinimas. Silpnas šifravimo algoritmas 80 % apklaustų programų, nesaugaus HTTP protokolo naudojimas – 70 %. „SQLite” įterpimas į duomenų bazių užklausas – 20%.

Ekspertai patikrino ne tik 20 į tyrimą įtrauktų gerai žinomų programų, bet ir dar 63 mažiau populiarių programų saugumą: atitinkamai 36 „Android” ir 27 „iOS.

„iOS” sistemoje užsakymo metu buvo atvirai perduodami tik naudotojo geografinės vietos duomenys, nustatyta, kad tai buvo susiję su 6 programomis, įskaitant „NonStop”: taksi užsakymo paslauga; „Taxi Pobeda”; „DA TAXI Tyumen” ir „Taxi Variant”. „Android” sistemoje situacija atrodo dar blogesnė – aptiktos 2 SV-TAXI programos. Išsikviesti taksi” ir „UpTaxi visuose miestuose „, kurie, be pirmiau minėtų geografinės vietos nustatymo duomenų, perduoda viešai prieinamus ir asmeninius naudotojo duomenis. vienu atveju – telefono numeris, o antruoju atveju – įgaliojimai telefono numeris ir slaptažodis ir prietaiso modelis. Šis pažeidžiamumas ne tik tiesiogiai pažeidžia duomenis, bet ir gali paskatinti naujas nesąžiningų naudotojų atakas.

Taip pat nustatytos trys „Android” programėlės, kurios naudotojo geolokacinius duomenis perdavė nešifruota forma, t. y. „Taxi Order GOST”, „My City” ir „Taxi Saturn+”. Kaip ir „iOS” atveju, šis pažeidžiamumas, nors ir nėra kritinis, vis tiek yra nepageidaujamas skaitmeninio saugumo požiūriu.

Atskira „Android” platformos problema yra pernelyg didelė arba paslėpta programėlių prieiga, kuri programėlėms suteikia paslėptų funkcijų, o kai kuriais atvejais jos gali būti net kenkėjiškos. Taigi 17 iš 36 „Android” programų suteikiama prieiga prie duomenų apie telefono būseną, 8 iš 36 programų suteikiama prieiga prie kontaktų peržiūros, o 6 iš 36 programų suteikiama prieiga prie telefono skambučių.

Tarp programų, kurios prašė visų išvardytų perteklinių prieigų, galima paminėti „SV-TAXI. Išsikvieskite taksi”, „Taxi Nam Puti” ir Faem.Taksi. „Roskatchestvo” nerekomenduoja atsisiųsti tokių programėlių.

Patikrinkite, ar taksi užsakymo programos privatumo politika atitinka Asmens duomenų įstatymo Nr. 152-FZ, 27 d. reikalavimus.07.2006 m. atliko „PravoRobotov”, savarankiškos ne pelno siekiančios organizacijos, teisininkai. Apskritai, visų tirtų programų teisiniai rezultatai buvo geri – jos buvo įvertintos 4 ar daugiau balų. Išimtis buvo Taxovitchcof, kurio programėlėje buvo nuoroda į privatumo politiką, kuri apklausos metu neveikė. Tyrimo paskelbimo metu problema nebuvo išspręsta. Nepaisant to, visos paslaugos, išskyrus „Taxovichkof”, perduoda duomenis susijusioms trečiosioms šalims.

Taksi keleivių gyvybės ir sveikatos draudimą jau kelerius metus vis atidžiau stebi tiek valdžios institucijos, tiek visuomenė. Atlikdami tyrimą, „Roskatchestvo” ir „PravoRobotov” teisininkai analizavo informaciją apie draudimą atitinkamose programėlėse. Tik trys iš jų „Citimobil”, „Yandex” ir „Yahoo!.Taxi” ir „Gett” paslauga automatiškai apdraudžia keleivį kelionės metu, o keleivio draudimas perduodamas trečiajai šaliai. Kitos paslaugos vienaip ar kitaip perkelia atsakomybę už avarines situacijas ant vairuotojo ir arba keleivio pečių ir priverčia sutikti, kad iš tikrųjų vežėjas „neteikia transporto ar logistikos paslaugų” ir nepriima pretenzijų įskaitant tokią „Yandex” priklausančios paslaugos „Uber” formuluotę .

Stanislavas Švagerus, Tarptautinio Eurazijos taksi forumo kompetencijų centro vadovas.

„Rusijos Federacijoje keleivių draudimo praktika yra savanoriška ir iš tiesų yra agregatoriaus konkurencinis pranašumas rinkoje. Tačiau savanoriškas tokio draudimo pobūdis kelia didelę riziką taksi keleiviams. Jei privalomasis draudimas aiškiai apibrėžia mokėjimų tvarką, draudimo išmokos dydis nustatomas tiek pagal draudimo teisės aktus, tiek pagal 2007 m. lapkričio 8 d. Federalinio įstatymo 34 straipsnį „Frachtuotojo atsakomybė”. Nr. 259-FZ „Autotransporto ir miesto antžeminio elektrinio transporto chartija”, ši tvarka ir išmokų dydžiai nustatomi draudiko ir agregato susitarimu savanoriško agregato atsakomybės draudimo atveju. Todėl faktinės kompensacijos už keleivių, važiuojančių taksi, gyvybes ir sveikatą yra itin mažos”

Ypatingą vietą užima vadinamieji „antrojo ešelono” agregatoriai, kurie dar neorganizavo civilinės atsakomybės draudimo ar kompensacijų fondų. Tokie agregatoriai savo vidaus taisyklėse paprastai nurodo, kad „jie neatsako už sudarytas viešąsias taksi sutartis ir kad visą atsakomybę keleiviams prisiima taksi vairuotojas”. Šie agregatoriai nepastebi, kad pagal 2007 m. lapkričio 8 d. Federalinio įstatymo 37 straipsnį „susitarimų negaliojimas. N 259-FZ „Kelių transporto ir miesto antžeminio elektrinio transporto statutas”, tokie dokumentai negalioja.

Teismų praktika dėl žalos keleivinių taksi keleivių gyvybei ir sveikatai atlyginimo yra plati, ir joje masiškai pripažįstama taksi vežėjų atsakomybė už žalą, padarytą keleivinių taksi paslaugų keleiviams pagal keleivinių taksi užsakomųjų reisų sutartį. Patikrinkite, ar jūsų mėgstama taksi užsakymo paslauga atitinka saugos reikalavimus ir įstatymo raidę?

Tyrimas atliktas pagal testavimo metodiką, pagrįstą preliminariu nacionaliniu mobiliųjų programėlių lyginamojo testavimo standartu PNST 277-2023.