Роскачество оценило безопасность приложений аренды самокатов и велосипедов

Эксперты назвали главные уязвимые места приложений для аренды самокатов и велосипедов. © / Олеся Ходунова / АиФ

Эксперты Роскачества назвали главные уязвимые места приложений для аренды  самокатов и велосипедов.

 Большинство сервисов велопроката и кикшеринга работают по одинаковой несложной схеме. Нужно скачать мобильное приложение и пройти процесс регистрации. Выбрать способ оплаты и тариф, если это предусмотрено в сервисе. Найти на карте ближайшую базу или самокат. Подойти к транспортному средству и активировать его, следуя инструкции в приложении.    
   

При проверке кикшеринговых и велопрокатных сервисов на информационную безопасность  Роскачество совместно с юристами из АНО «ПравоРоботов» также проанализировало их политики конфиденциальности. Всего было изучено 68 приложений (по 34 для iOS и Android). В исследование попали приложения, которые на момент тестирования предоставляли возможность аренды микромобильного транспорта, при этом изучались как работающие в столице, так и региональные сервисы.

Безопасность приложений оценивалась по восьми критериям: запрос минимально необходимых пользовательских данных,  необходимых разрешений, безопасность передачи данных приложения, безопасность передачи пользовательских данных, согласие на обработку и хранение данных, ссылка на политику конфиденциальности, сложность пароля, удаление аккаунта.

 Все изученные сервисы аренды велосипедов, кроме двух, имеют доступ в приложение по одноразовым SMS-кодам, что повышает надёжность и исключает риск того, что под сторонней учётной записью велосипед или самокат будут арендовать другие люди. Более низкий уровень безопасности продемонстрировали только сервисы «ВелоБайк - городской велопрокат Москвы» и «Велобайк Мультигорода». Эти приложения присылают разовый логин и PIN-код, который не меняется со временем. Узнав логин и пароль, злоумышленник может потенциально использовать сервис в своих целях, например, ездить за счёт чужой привязанной карты или даже украсть транспорт, после чего вопросы у сервиса будут именно к владельцу учётной записи: ему придётся доказывать, что он не виноват. Например, если велосипед не сдан после 48 часов аренды, «Велобайк» выписывает владельцу учётной записи штраф в 30 тысяч рублей. Аналогичные санкции предусмотрены и у других приложений велопроката.

Как правило, при авторизации в сервисе онлайн-проката велосипедов мы стремимся вводить абсолютный минимум своих персональных данных, но в случае с сервисом проката расширенные данные запрашивает 21% всех приложений. В частности, приложения Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Берисамокат, Bike&Go требуют имя и фамилию. E-motion оказалось единственным приложением, которое попросило при регистрации фото паспорта или водительского удостоверения (впрочем, этот шаг можно пропустить при регистрации без видимых последствий).

 У трёх приложений системные данные о геолокации передаются в открытом доступе: «lite – ride here, ride now», «Зелёный город» и «Matur.city». При желании таким образом можно отследить текущее местонахождение пользователя, однако чаще человек отправляет данные о своей геолокации в момент взятия в аренду самоката или велосипеда, находясь под открытым небом. Это минимизирует риск того, что злоумышленник встроится в канал и сможет манипулировать передаваемыми данными. Важно, что все приложения продемонстрировали безопасную передачу данных пользователя. Значит, персональные и платежные данные при использовании приложений, исследованных Роскачеством, будут в безопасности.

 По оценке экспертов, исследуемые популярные в России сервисы показали высокий уровень защищённости.

«Исследованные приложения аренды велосипедов и самокатов в большинстве своем реализованы на высоком уровне и признаны в равной степени безопасными. Ни одно из замечаний, которые можно предъявить по результатам их анализа, не влияет на непосредственный пользовательский опыт. Единственный момент, на который стоит обратить внимание – не меняющийся со временем логин и PIN-код, который теоретически можно использовать для постороннего доступа», - поделился выводами исследования руководитель Центра цифровой экспертизы Роскачества Антон Куканов.