Специалисты Роскачества выяснили основные проблемы приложений для аренды велосипедов и самокатов.
Рынок аренды самокатов растет немыслимыми темпами. К декабрю он увеличится на 300%:, это 10 миллиардов рублей. В начале года в России было не больше 10 тысяч самокатов, то уже в апреле на всех операторов кикшеринга приходится уже около 85 тысяч. Инвестировать в сервисы микромобильного транспорта намерены Яндекс, mail.ru, МТС и Сбербанк. Абсолютное большинство - около 60 тысяч самокатов - приходится на долю сервисов Urent и Whoosh.
Рынок аренды велосипедов развивается не так быстро: осенью в столице числились 662 пункта проката велосипедов, которые обслуживали 6,5 тысяч велосипедов. Этой весной к ним добавится 67 новых станций проката и 1000 новых велосипедов, половина из которых - электрические. Это уже сопоставимо с такими городами, как Лондон (18 тысяч) или Нью-Йорк (8 тысяч).
Пока ГИБДД фиксирует рост количества аварий с участием микромобильного транспорта, правительство собирается приравнять самокаты к транспортным средствам, чтобы ограничить скорость и уменьшить число жертв. Однако пользователей приложений для аренды все больше. Роскачество оценило информационную безопасность таких приложений и предупредило о рисках.
При проверке кикшеринговых и велопрокатных сервисов на информационную безопасность Роскачество и юристы из АНО «ПравоРоботов» рассмотрели их политики конфиденциальности. Всего было изучено 68 приложений (по 34 для iOS и Android).
Если брать такой критерий, как сложность пароля, все изученные сервисы аренды велосипедов, кроме двух, имеют доступ в приложение по одноразовым SMS-кодам, что повышает надежность. Более низкий уровень безопасности продемонстрировали сервисы «ВелоБайк - городской велопрокат Москвы» и «Велобайк Мультигорода». Эти приложения присылают разовый логин и PIN-код, который не меняется со временем. Узнав логин и пароль, злоумышленник может потенциально использовать сервис в своих целях.
Рассматривая такой критерий, как запрос только минимально необходимых пользовательских данных эксперты отметили, что расширенные данные запрашивает 21% всех приложений. В частности, приложения Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Берисамокат, Bike&Go требуют имя и фамилию. E-motion оказалось единственным приложением, которое попросило при регистрации фото паспорта или водительского удостоверения (впрочем, этот шаг можно пропустить при регистрации без видимых последствий).
Информационная безопасность приложения во многом определяется его доступами. Для полноценной работы приложения аренды микромобильного транспорта необходимы только два: запрос местоположения и доступ к камере (чтобы отсканировать QR-код). Все остальные доступы в рамках исследования принимались за избыточные. Наибольшее количество избыточных доступов было зафиксировано у BusyFly: осуществление телефонных вызовов, отключение спящего режима, а также запуск при включении устройства. BikeMe осуществляет поиск аккаунтов на устройстве, а ScooBee запрашивает разрешение на показ поверх всех окон - это один из самых потенциально опасных доступов. 85 % проанализированных приложений на платформе Android избыточный доступ не запрашивают, на IOS эта цифра еще выше в силу особенностей самой операционной системы.
Что касается безопасности передачи данных, в ходе исследования специалисты Роскачества анализировали данные, которые передают приложения, перехватывая трафик с использованием специализированного ПО. У трех приложений системные данные о геолокации передаются в открытом доступе: «lite – ride here, ride now», «Зеленый город» и «Matur.city». При желании таким образом можно отследить текущее местонахождение пользователя, однако чаще человек отправляет данные о своей геолокации в момент взятия в аренду самоката или велосипеда, находясь под открытым небом. Это минимизирует риск того, что злоумышленник встроится в канал и сможет манипулировать передаваемыми данными. Более важно, что все приложения продемонстрировали безопасную передачу данных пользователя. Значит, персональные и платежные данные при использовании приложений, исследованных Роскачеством, будут в безопасности.
Специалисты также провели оценку потенциальных уязвимостей и недокументированных возможностей приложений при помощи специализированного ПО «Solar appScreener». Наиболее значимая и распространенная потенциальная уязвимость — это использование незащищённого протокола HTTP (у 90% приложений на Android), с ней схожа небезопасная собственная реализация SSL (у 34%). Внедрение в запрос к базе данных SQLite зафиксировано у 22%, обращение к DNS у 82% приложений. Алгоритм шифрования у большинства приложений реализован хорошо, потенциальные уязвимости выявлены только у 12% рассмотренных приложений.
«Мобильные приложения для аренды велосипедов и самокатов с низким уровнем защищенности способны поставить под удар большой объем чувствительных данных о пользователе. Это могут быть ФИО, номер телефона, email, геолокация, номер банковской карты и другое. Защита этих сведений входит в зону ответственности разработчиков. Исследуемые популярные в России сервисы показали высокий уровень защищенности. При этом не стоит забывать, что каждая новая версия приложения требует анализа качества программного кода и его защищенности, — пояснил Даниил Чернов, директор центра Solar appScreener компании «Ростелеком-Солар».
Выводами исследования поделился руководитель Центра цифровой экспертизы Роскачества Антон Куканов:
«Исследованные приложения аренды велосипедов и самокатов в большинстве своем реализованы на высоком уровне и признаны в равной степени безопасными. Ни одно из замечаний, которые можно предъявить по результатам их анализа, не влияет на непосредственный пользовательский опыт. Единственный момент, на который стоит обратить внимание – не меняющийся со временем логин и PIN-код, который теоретически можно использовать для постороннего доступа».
«В целом риск при использовании приложений велопроката маловероятен, и приложения от крупных игроков данного рынка рекомендуются Роскачеством к использованию. Будьте, однако, осторожны при скачивании приложений малоизвестных сервисов и всегда обращайте внимание на доступы, которые требуются при установке. При выборе сервиса имейте в виду, что они предоставляют свои зоны покрытия и парковки, что важно при планировании маршрута», – рекомендует Куканов.
В исследовании оценивались следующие приложения на двух мобильных платформах:
Bike&Go, BikeMe, Bumerang (Lifcar), BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Альметьевск, GreenBee, lite, LuckyBike, Matur.city, MOLNIA, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, VEZU, Volt, Whoosh, YES Sharing, ZEVS, «Берисамокат», «ВелоБайк», «Велобайк Мультигорода», «Зеленый город», «Карусель», «Ситимобил».