Roskachestvo vyhodnotilo aplikace pro objednávání taxi a identifikovalo ty nejisté

Centrum digitální expertízy společnosti Roskatchestvo provedlo průzkum nejoblíbenějších mobilních aplikací pro objednávání taxi. Odborníci zjistili, které služby jsou nejbezpečnější a nejfunkčnější, takže je doporučujeme používat, a které je lepší z vašeho smartphonu odstranit.

Podle průzkumu FOM z prosince 2023 využilo v uplynulém roce taxislužbu celkem 66 % Rusů ve velkých městech je to až 73 % . 4 % Rusů jezdilo v posledním roce taxíkem téměř každý den, 10 % několikrát týdně, 22 % několikrát měsíčně a 29 % několikrát ročně. Většina Českych obyvatel 69 % si na službu již zvykla a považuje ji za bezpečnou. Je to skutečně tak? Roskatchestvo naposledy zkoumalo mobilní aplikace pro objednávání taxi v prosinci 2023. V té době měli odborníci společnosti Roskatchestvo mnoho otázek týkajících se bezpečnosti mobilních aplikací.

Aby Roskachestvo zjistilo, jak funkční, kvalitní a bezpečné jsou aplikace pro objednávání taxi, otestovalo 22 aplikací: po 11 pro iOS a Android. Kromě toho odborníci analyzovali z hlediska bezpečnosti málo populární aplikace pro objednání taxi za závorkami hlavního hodnocení. Mezi více než 100 testovanými aplikacemi byly nalezeny nebezpečné aplikace.

První pětka se letos příliš nezměnila: do žebříčku se dostal Taxovychkof, který byl v minulém průzkumu až na 7. místě, zatímco Uber, stříbrný medailista z roku 2023, z čela vypadl. Na obou platformách se Gett také dostal na pátou pozici. Aplikace Yandex Go, Taxovichkof a Citimobil na Androidu byly uznány jako nejlepší ve všech kritériích, zatímco Yandex Go, maxim a Taxovichkof na iOS.

Během studie odborníci z Roskačeva používali aplikaci jako běžní uživatelé: objednávali a cestovali taxíkem, analyzovali fungování aplikace a její funkčnost, přidávali adresy do oblíbených a přání k objednávkám, studovali profily řidičů informace o řidičích, vozech, přepravní společnosti atd. Proběhl také dodatečný test zabezpečení aplikací pomocí specializovaného softwaru. Testy byly provedeny podle 139 kritérií, testovány byly všechny klíčové funkce, hodnoceno bylo pohodlí, bezpečnost informací, výkonnost a spolehlivost aplikací pro objednávání taxi.

Při hodnocení aplikací byly zohledněny výsledky hloubkových rozhovorů s uživateli taxi, které vedli odborníci společnosti Roskatchestvo, a sémantická analýza více než 900 recenzí v App Store a Google Play Market.

Funkčnost

Jedním z nejdůležitějších spotřebitelských atributů každé mobilní aplikace je její funkčnost. Odborníci testovali karty řidiče a auta, funkci objednání auta, možnost zanechat přání na cestu děti, zavazadla, domácí zvířata atd. , prohlížení jeho historie, funkčnost nastavení atd.

Chyby, na které upozornili odborníci: DiDi nezobrazuje budovy na mapě to bylo opraveno ve verzi, která byla vydána po dokončení průzkumu , Rutaxi nezobrazuje polohu uživatele. Gett, DiDi a Bolt neumožňují objednat auto pro jinou osobu. Didi a Bolt také neumožňují při objednávce zadat příjezdovou cestu. Gett – jediný taxík bez možnosti zadání mezizastávek. Gett, Bolt a Uber neumožňují objednat si druhé auto. „Go“ a DiDi neumožňují zobrazit poslední adresy. Outsidery v hodnocení karet byly „Veset“ a „Rutaxi“, které ve skutečnosti nemají žádnou kartu řidiče a pouze informace o vozidle. Méně než polovina aplikací má fotografii a hodnocení řidiče.

DiDi nemá funkci pro zanechání návrhů objednávek. Možnost požádat řidiče o pomoc při nastupování je k dispozici pouze v režimu „Jedeme“ a „Taxikář“ – důležité zejména pro cestující s omezenou pohyblivostí. Za zmínku také stojí, že polovina služeb neumožňuje zadat dostupnost zavazadel nebo potřebu prostoru pro jejich umístění.

Během samotné jízdy byly hodnoceny různé funkce, které cestujícím usnadňují život. Zatímco komunikace s řidičem před nástupem a oznámení o příjezdu jsou implementovány jako základní funkce ve všech aplikacích, oznámení řidiče na straně cestujícího je vzácnější má je pouze 45 % aplikací . A důležitá možnost pro bezpečnost cestujících, možnost sdílet spojení s třetími stranami je přítomna téměř ve všech aplikacích – kromě Citimobile, Gett a Rutaxi.

Méně než polovina aplikací umožňuje změnit způsob platby během cesty, zatímco jiné to umožňují pouze do okamžiku rezervace. Nejvzácnější funkcí ve skupině bylo tlačítko SOS: mají ho pouze Yandex Go, DiDi a Bolt. Umožňuje vytočit číslo 112 jediným dotykem nebo sdílet polohu s důvěryhodnými kontakty. Všechny služby, kromě „Rutaxi“ a „Taxovitchkof“, umožňují změnu trasy již po zahájení cesty.

U aplikací pro objednávání taxíků byla hodnocena dostupnost všech způsobů platby hotovost, bezhotovostní platba, Google/Apple Pay , stejně jako pohodlí bezhotovostní platby propojení více karet, automatické vyplňování údajů pomocí skenování karty , možnost nastavení výše spropitného před jízdou i po jízdě obojí je dostupné u 45 % aplikací . Méně než polovina aplikací podporuje bezhotovostní platby pomocí služeb třetích stran, stejný počet umožňuje skenování karty.

Odděleně od ostatních funkcí byla hodnocena možnost zařadit konkrétního řidiče na černou listinu v aplikaci pouze DiDi na Androidu, Yandex Go, Gett a Uber na iOS . Nehodnocené bylo ukázkou hodnocení uživatelů podobně jako hodnocení řidičů , pouze Yandex Go je má otevřené pro cestující.

Podle výsledků testů jsou nejfunkčnější aplikace pro Android – „Yandex Go“, „Taxovichkof“ a „Let’s go“. V systému iOS – Yandex Go, Taxovitchkof a Gett

Kromě funkčnosti byla odborníky kontrolována také použitelnost aplikací. Odborníci provedli testování použitelnosti aplikací s více než 180 běžnými uživateli. V průběhu studie byly uživatelům zadávány testovací úkoly, jako například najít v rozhraní možnost zanechat komentář k cestě nebo změnit způsob platby, a jejich akce byly analyzovány. To nám umožnilo zhodnotit přehlednost a použitelnost rozhraní aplikace. Nejpohodlnější interakce pro uživatele byla s aplikacemi Uber a Yandex.Jdi“.

Asistenci v aplikaci plně implementuje pouze společnost Yandex.Go“ a Uber chat nebo formulář pro zpětnou vazbu, nápověda k používání služby, možnost zavolat na podporu .

Přizpůsobení pro osoby se zdravotním postižením podpora dynamických písem a čteček obrazovky VoiceOver Talkback je plně přítomno pouze v aplikaci „Taxovichkof“ na systému Android. Aplikace pro iOS mají v tomto kritériu tradičně nižší skóre kvůli technickým zvláštnostem platformy; pouze Citimobile získal skóre 4.

Všechny zkoumané aplikace neměly žádný vložený reklamní materiál, s výjimkou aplikace Taxovychkof, která má vloženou reklamu integrované služby rozvozu jídla.

Zabezpečení

Bezpečnost informací je pro služby objednávání taxi velmi důležitá, protože uživatel v aplikaci zadává své platební údaje a v některých případech i osobní údaje. Průzkum hodnotil, zda služba požaduje pouze minimum požadovaných údajů a oprávnění uživatele. Bezpečnost přenosu dat aplikace a uživatelských dat byla analyzována odděleně.

Za účelem ověření bezpečnosti přenosu dat zachytili odborníci veškerý provoz odesílaný aplikací pomocí specializovaného softwaru Wireshark a poté jej analyzovali na přítomnost nešifrovaných dat. Všechny aplikace s výjimkou verzí DiDi a Veset pro Android byly v odposlechu provozu úspěšné: Didi přenáší v nešifrované podobě obrázky obsah aplikace, zatímco Veset přenáší souřadnice uživatele a cílovou adresu, což je mnohem závažnější.

Po zachycení těchto údajů by podvodník mohl vysledovat cestu k cíli své oběti a poté tyto informace využít k cílenému útoku. Všechny aplikace kromě DiDi, Bolt a Uberu mají vazbu na kartu 3-D Secure.

V letošním roce byly všechny aplikace shledány bezpečnými a zabezpečenými, přičemž 73 % služeb pro iOS a Android získalo hodnocení 4 nebo vyšší. DiDi a Bolt na obou platformách byly degradovány pro nadměrné požadavky na data během registrace.

Kromě toho odborníci společnosti Roskatchestvo testovali všechny aplikace pro Android na zranitelnosti pomocí nástroje Solar appScreener, který využívá technologii automatické binární analýzy bez zpětného inženýrství dekompilace zdrojového kódu .

Výsledkem bylo zjištění následujících potenciálních zranitelností: nezabezpečená nativní implementace SSL v 54 %, nezabezpečený odraz v 81 %, nezabezpečený HTTP v 90 %, slabý hashovací algoritmus v 72 %, slabý šifrovací algoritmus v 9 %, injektáž dotazu do databáze SQLite v 18 %, dotaz DNS v 90 %.

Kromě 22 známých aplikací zahrnutých do průzkumu odborníci zkontrolovali také zhruba stovku dalších, mnohem méně populárních aplikací z hlediska bezpečnosti 65 % z nich bylo pro Android .

V některých aplikacích, které Roskachevo kontrolovalo zvlášť, byly nalezeny „díry“, které mají pro uživatele nepříjemné důsledky. Nejméně v 5 aplikacích byl zjištěn nechráněný přenos souřadnic cestujících, v některých případech bylo přidáno číslo a model telefonu nebo dokonce osobní údaje uživatele. Existuje riziko, že by kyberzločinci mohli získat tyto údaje, které by mohly být později použity proti oběti,“ řekl Anton Kukanov, vedoucí Centra digitální expertízy společnosti Roskačevo.

Nešifrované telefonní číslo u společností Saturn Taxi, RED TAXI, UpTaxi a Order of Taxi GOST je potenciální zranitelností, protože útočník by k němu získal přístup zachycením dat. Nežádoucí informací je také konkrétní model telefonu, protože každý telefon má v závislosti na modelu jiné zranitelnosti, které mohou útočníci využít, pokud se zaměří na oběť. Zejména pro starší modely smartphonů.

Osobní údaje u společnosti Saturn Taxi jsou spojením telefonního čísla a jména, což jsou velmi citlivé informace. Souřadnice X-Scar v nejhorším případě -TAXI -SV a UpTaxi, Taxi, NonStop, útočník může získat souřadnice cílového místa, ale většinou se přenášejí souřadnice skutečného místa. Všechny tyto zranitelnosti a nesou potenciál proniknout do bezpečnostního perimetru aplikace. Proto se nedoporučuje používat Fi např. -aplikace, pokud je váš telefon připojen k veřejné Wi a používáte k tomuto účelu mobilní internet. -v restauraci nebo hotelu

Zásady ochrany osobních údajů

Kontrola souladu zásad ochrany osobních údajů v aplikacích pro objednávání taxi se zákonem o osobních údajích č. 152-FZ ze dne 27. prosince 2011 .07.2006 provedli právníci Autonomní neziskové organizace „PravoRobotov“. V této studii se příslušná skupina 17 testovacích parametrů podílela na výsledném skóre aplikace 10 %.

Právníci analyzovali zásady z hlediska souladu s Českym právem a kontrolovali aplikace podle kritérií, která jsou pro uživatele důležitá, jako jsou podmínky ukončení zpracování osobních údajů, kdo je odpovědný za jejich shromažďování, strany, kterým jsou předávány, a přítomnost slovníčku pojmů a lokalizace v ruském jazyce v uživatelské dokumentaci služeb. Byly také zkontrolovány informace o pojištění cestujících pouze maximálně je plně přítomno v samotné aplikaci, u ostatních se dokument otevře v prohlížeči .

Zásady služby Bolt obsahují odkaz na předávání údajů třetím stranám nad rámec požadavků stanovených zákonem a přidruženými společnostmi, přičemž seznam třetích stran není uveden. Zásady společnosti Uber neobsahují informace o zpracovávaných osobních údajích. Za zmínku stojí také automatický souhlas uživatelů se zasíláním reklamních e-mailů např. od společností maxim a Taxoviccof .

Gett dokonce shromažďuje informace, jako je výkon baterie a sítě např. stav baterie a využití nabíječky , a také názvy, typy a velikosti souborů ve vašem zařízení, včetně množství volného a využitého místa v místním úložném zařízení.

V zásadách ochrany osobních údajů všech služeb s výjimkou Taxovitchkof je uvedeno předávání uživatelských údajů třetím stranám. Obvykle jde o shromažďování údajů o tom, jak uživatelé aplikaci používají.

Nikita Kulikov, c.t.n., Generální ředitel společnosti PravoRobotov

„Studie zjistila, že řada služeb kromě svých přímých povinností spočívajících v zajišťování přepravy občanů shromažďuje nadměrné množství údajů, které přímo nesouvisejí s činnostmi souvisejícími s objednáváním taxislužby. Některé služby také sdílejí vaše údaje s třetími stranami, včetně zahraničních subjektů. V tomto ohledu je důležité, aby si každý uživatel uvědomil, že i v těch nejnezjevnějších situacích může být soukromí jeho osobních údajů ohroženo.“.

Negativní a pozitivní aspekty zásad ochrany osobních údajů, na které právníci doporučují dávat pozor, jsou uvedeny v každé z aplikačních karet. Výzkum byl proveden v souladu s metodikou testování založenou na předběžném národním standardu pro srovnávací testy mobilních aplikací PNST 277-2023