Průzkumu se zúčastnilo osm aplikací pro půjčování kol a 27 aplikací pro sdílení kol na obou mobilních platformách: Bike&Go, BikeMe, Bumerang Lifcar , BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Almetyevsk, GreenBee, lite, LuckyBike, Matur.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamokat, VeloBike, Velobike Multi-City, Green City, Carousel, Citimobile.
Kolik kol a skútrů k pronájmu v Rusku?
Trh s půjčovnami skútrů v Rusku rychle roste. Do konce roku se předpokládá nárůst o 300 %: 10 miliard koruna. Zatímco na začátku roku 2023 nebylo v Rusku více než 10 tisíc koloběžek, od dubna letošního roku jich je již asi 85 tisíc pro všechny provozovatele služeb kickshare, a to není limit. Záměr investovat do služeb mikromobility vyjádřily takové významné společnosti jako Yandex, mail, MTS a Sberbank. Urent a Whoosh představují naprostou většinu přepravy – přibližně 60 000 skútrů.
Trh s půjčovnami kol se rozvíjí pomaleji: na podzim 2023 bylo v Praze 662 půjčoven kol, které obsluhovaly 6,5 tisíce jízdních kol. Letos na jaře k nim přibude 67 nových půjčoven a 1 000 nových jízdních kol, z nichž polovina bude elektrických. To už je srovnatelné s městy, jako je Londýn 18 000 nebo New York 8 000 . Letošní sezóna půjčoven kol začala o měsíc dříve než obvykle, tedy začátkem dubna. Prahaský deptrans to vysvětlil tím, že v pandemickém roce se služba půjčování kol prostřednictvím aplikace stala mezi obyvatelstvem velmi populární více než 8 milionů jízd .
Zatímco dopravní policie zaznamenala nárůst nehod s účastí mikromobilních vozidel, vláda zvažuje zrovnoprávnění koloběžek s vozidly, aby omezila rychlost a následně snížila počet obětí. Stále více uživatelů aplikací na pronájem. Roskatchestvo posoudilo informační bezpečnost těchto aplikací a varovalo před riziky.
Většina půjčoven kol a služeb kickshare funguje podle stejného nekomplikovaného schématu:
– Je třeba stáhnout mobilní aplikaci a projít procesem registrace.
– Zvolte způsob platby a tarif, pokud je v rámci služby stanoven.
– Vyhledání nejbližší základny nebo skútru na mapě.
– Přistupte k vozidlu a aktivujte jej podle pokynů v aplikaci.
Při kontrole zabezpečení informací u služeb kickshare a půjčoven kol analyzovalo Roskačestvo spolu s právníky z PravoRobot také jejich zásady ochrany osobních údajů. Celkem bylo přezkoumáno 68 aplikací 34 pro iOS a Android . Studie zahrnovala aplikace, které v době testování poskytovaly možnost pronájmu mikromobilní dopravy, a zkoumala jak ty, které působí v hlavním městě, tak regionální služby.
Bezpečnost aplikací byla hodnocena podle osmi kritérií:
Vyžadování minimálních potřebných údajů o uživateli
Požadovaná oprávnění ● Požadovaná oprávnění
● Bezpečný přenos dat aplikace
● Bezpečný přenos uživatelských dat
Složitost hesla ● Souhlas se zpracováním a uchováváním údajů
Odkaz na zásady ochrany osobních údajů
● Složitost hesla
● Odstranění účtu
Aplikace pro Android byly také testovány na potenciální zranitelnosti pomocí analyzátoru zranitelností Solar appScreener. Velká část aplikací má podobnou architekturu, kde se mění pouze design a obsah.
● Složitost hesla
● Všechny studované půjčovny kol kromě dvou mají přístup do aplikace prostřednictvím jednorázových SMS kódů, což zvyšuje bezpečnost a eliminuje riziko, že si kolo nebo koloběžku půjčí jiné osoby pod účtem třetí strany. Pouze VeloBike – Moscow City Bike Rental a VeloBike MultiCity vykazovaly nižší úroveň zabezpečení. Tyto aplikace odesílají jednorázové přihlášení a kód PIN, který se v průběhu času nemění. Po získání uživatelského jména a hesla může útočník potenciálně využít službu pro vlastní účely, například zaplatit za jízdu cizí propojenou kartou nebo dokonce ukrást dopravní prostředek, načež bude mít služba pro majitele účtu otázky: bude muset prokázat, že se nedopustil pochybení. Například pokud kolo není vráceno po 48 hodinách pronájmu,
„Velobike“ píše pokutu 30 tisíc koruna majiteli účtu. Podobné sankce mají i další aplikace na půjčování jízdních kol.
Vyžadování pouze nezbytného minima uživatelských údajů
Při přihlašování do online půjčovny kol obvykle zadáváme naprosté minimum osobních údajů, ale v případě půjčovny je rozšířené údaje požadováno 21 % všech aplikací. Zejména Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamocat, Bike&Go vyžadují vaše jméno a příjmení. E-motion byla jediná aplikace, která při registraci požadovala fotografii pasu nebo řidičského průkazu tento krok však lze při registraci bez viditelných následků vynechat .
Vyžadování pouze nezbytných oprávnění
Zabezpečení informací v aplikaci je do značné míry určeno jejími oprávněními. Pro plnou funkčnost aplikace pro pronájem mikromobilů jsou nutné pouze dva požadavky: požadavek na polohu a přístup k fotoaparátu pro naskenování kódu QR . Všechny ostatní přístupy v rámci studie byly považovány za nadbytečné. BusyFly má nejvyšší počet redundantních přístupů: telefonování, vypnutí režimu spánku a spuštění při zapnutí zařízení. BikeMe vyhledává účty v zařízení a ScooBee žádá o povolení zobrazit se nad všemi okny – což je jeden z potenciálně nejnebezpečnějších přístupů. 85 % analyzovaných aplikací pro Android nevyžaduje nadměrný přístup, v systému iOS je toto číslo ještě vyšší vzhledem k vlastnostem samotného operačního systému.
Odstranění účtu
Žádná z analyzovaných aplikací, s výjimkou aplikace Whoosh, neumožňuje uživatelům smazat svůj účet pomocí funkce implementované v programu. To však lze provést kontaktováním. Jedenáct vývojářů služby Roskachevo slíbilo, že v nadcházejících aktualizacích přidají mazání účtů.
Zabezpečený přenos dat
Během studie specialisté Roskatchestvo analyzovali data přenášená aplikacemi a zachytili provoz pomocí specializovaného softwaru. Tři aplikace mají geolokační údaje systému ve veřejné doméně: „lite – ride here, ride now“, „Green City“ a „Matur“.město“. Pokud chcete, můžete tímto způsobem sledovat svou aktuální polohu, ale nejčastěji člověk odesílá své geolokační údaje, když si půjčí koloběžku nebo kolo, a to na volném prostranství. Tím se minimalizuje riziko, že se útočník usadí v kanálu a bude moci manipulovat s přenášenými daty. Důležitější je, že všechny aplikace prokázaly bezpečný přenos uživatelských dat. Osobní a platební údaje by tak byly při používání aplikací zkoumaných společností Roskachevo v bezpečí.
Souhlas se zpracováním a uchováváním údajů
Souhlas uživatele se sdílením a zpracováním jeho údajů je nejdůležitější zásadou při poskytování moderních online služeb. Všech 100 % dotazovaných aplikací vyžadovalo nějakou formu souhlasu, ale pouze 24 % vyžadovalo aktivní souhlas.
Zranitelnosti v aplikacích pro půjčování koloběžek a kol
Odborníci také vyhodnotili potenciální zranitelnosti a nedokumentované funkce aplikací pomocí softwaru Solar appScreener. Nejvýznamnější a nejrozšířenější potenciální zranitelností je použití nezabezpečeného protokolu HTTP týká se 90 % aplikací pro Android , následuje nezabezpečená nativní implementace protokolu SSL 34 % . Databázové dotazy SQLite byly zjištěny u 22 % aplikací, dotazy DNS u 82 % aplikací. Většina aplikací má dobře implementované šifrovací algoritmy a pouze 12 % zkoumaných aplikací vykazuje potenciální zranitelnosti.
Daniel Černov, ředitel centra Solar appScreener ve společnosti Rostelecom Solar.
„Mobilní aplikace pro půjčování kol a koloběžek s nízkým zabezpečením mohou ohrozit velké množství citlivých údajů uživatelů. Může to být jméno, telefonní číslo, e-mail, zeměpisná poloha, číslo bankovní karty atd. Za ochranu těchto dat odpovídají vývojáři. Oblíbené ruské služby vykazovaly vysokou úroveň zabezpečení. Nemělo by se zapomínat, že každá nová verze aplikace vyžaduje analýzu kvality kódu a jeho zabezpečení
Právní posouzení
Zásady ochrany osobních údajů všech aplikací získaly poměrně vysoké hodnocení. Mezi nedostatky – ne všechny aplikace uvádějí v dokumentu informace o ukládání dat na území Ruské federace – chybí u 9 % aplikací, mezi nimiž můžeme zmínit MOLNIA, VEZU a Red Wheels. Zpracovatel je také povinen uvést v pojistné smlouvě všechny identifikátory třetích stran, včetně jejich názvu TIN nebo PSRN, ale tyto údaje chybí v 53 % případů. Společnosti Bike&Go a GoBike mají možnost předávat osobní údaje přes hranice. U společností GreenBee, Green City a Seagull je vlastníkem všech osobních údajů získaných při používání služby IP. A Velobike oficiálně zakazuje používání půjčeného kola jako majetkového vkladu do obchodních společností a firem.
Nikita Kulikov, generální ředitel společnosti PravoRobotov
„Uživatelé jakékoli služby by si měli uvědomit, že vše, co s aplikací udělají, i tak triviální věc jako odemknutí kola nebo koloběžky, má digitální stopu a určité důsledky. Téměř všechny aplikace sdílejí vaše údaje s třetími stranami, i když anonymně. V každém případě by měl uživatel dodržovat obecné zásady bezpečnosti: hlídat si přístup, který aplikace vyžaduje, a poskytovat pouze minimum osobních údajů. Neměli byste posílat skeny dokumentů nebo propojovat platební údaje s podezřelými aplikacemi, u kterých si uživatel není jistý, zda jsou spolehlivé.“.
Anton Kukanov, vedoucí Centra digitální expertízy společnosti Roskačestvo, se podělil o závěry průzkumu:
„Zkoumané aplikace pro půjčování kol a koloběžek jsou většinou implementovány na vysoké úrovni a jsou považovány za stejně bezpečné. Žádná z připomínek, které lze vznést k jejich analýze, nemá vliv na přímou uživatelskou zkušenost. Jediné, na co je třeba si dát pozor, je to, aby se přihlašovací jméno a PIN kód v průběhu času neměnily, což by teoreticky mohlo být zneužito k neoprávněnému přístupu.
Závěry a doporučení
Studované aplikace pro půjčování kol a koloběžek jsou většinou implementovány na vysoké úrovni. Prakticky žádná z připomínek, které lze na základě této analýzy vznést, nemá vliv na přímou uživatelskou zkušenost. Jediným nekritickým bodem, který stojí za zmínku vzhledem k rozsahu služby , je, že uživatelské jméno a PIN se v průběhu času nemění, což může být teoreticky zneužito k neoprávněnému přístupu pro půjčovnu Moscow City Bike Rental a její variantu Multicity . Všechny aplikace byly shledány stejně bezpečnými a nebyly identifikovány žádné nezabezpečené.
Celkově lze říci, že riziko spojené s aplikacemi pro půjčování kol a skútrů je nepravděpodobné. Aplikace od hlavních hráčů na tomto trhu doporučuje společnost Roskachevo k používání. Buďte však opatrní při stahování aplikací z málo známých služeb a při jejich instalaci vždy věnujte pozornost přístupu, který vyžadují. Při výběru služby mějte na paměti, že poskytuje vlastní pokrytí a parkoviště, což je důležité při plánování trasy.
Jaká jsou závěrečná hodnocení Roskachestvo ohledně aplikací na půjčování kol a koloběžek? Jaké jsou nejlepší a nejhůře hodnocené aplikace?