Centrum digitální expertízy společnosti Roskatchestvo provedlo průzkum 20 nejoblíbenějších mobilních aplikací pro objednávání taxi. Vzhledem k tomu, že taxislužby shromažďují a uchovávají naše osobní a platební údaje, musí být jejich zabezpečení bezchybné. Dále byla analyzována informační bezpečnost více než 60 málo známých aplikací. Bohužel ne všechny byly v bezpečí.
Trh taxislužeb od roku 2023 neustále roste a rychle se mění, v roce 2023 několik služeb, včetně Vesetu a Rutaxi, které dříve analyzoval Roskachevo, převzal Yandex, čímž zvýšil svůj celkový podíl a stal se absolutním lídrem, pokud jde o zastoupení 40 % celkově, 67 % mezi agregátory, podle Forbesu v září 2023 .
Aby Roskachevo zjistilo, jak funkční, kvalitní a bezpečné jsou aplikace pro objednávání taxi, otestovalo 20 aplikací: po 10 pro iOS a Android. A právníci ANO PravoRobotov prověřili, zda jsou zásady ochrany osobních údajů těchto služeb v souladu s federálním zákonem „O osobních údajích“ č. 152-FZ ze dne 27. prosince 2011 .07.2006 a zdůraznil negativní a pozitivní aspekty, kterým by uživatelé měli věnovat pozornost.
Sergej Bodrov, vedoucí Centra digitální expertízy společnosti Roskačestvo.
„Během studie odborníci používali aplikaci jako běžní uživatelé: objednávali taxíky a jezdili po městě, analyzovali výkon a funkčnost aplikace, přidávali adresy do oblíbených a požadavky na objednávky, studovali profily řidičů informace o řidičích, vozech, dopravci a zpracovávali další typické scénáře používání. Kromě toho byly aplikace testovány z hlediska bezpečnosti pomocí specializovaného softwaru. Výsledkem bylo testování všech klíčových funkcí, hodnocení pohodlí, bezpečnosti informací, jakož i výkonnosti a spolehlivosti aplikací pro objednávání taxi.“
Podle průzkumu zůstává vedoucí aplikace stejná Yandex Go , Taxoviccof ztratil pozici a Citimobile si polepšil a je nyní na třetím místě na obou platformách iOS a Android .
Podle výsledků testů jsou nejfunkčnějšími aplikacemi „Yandex Go“, „Taxovichkof“ na obou platformách a Uber na Androidu, stejně jako „Citimobile“ na iOS. Nejpohodlnějšími aplikacemi jsou podle průzkumu Yandex Go, Taxovitchkof a maxim na Androidu a Taxovitchkof a maxim na iOS. Pokud jde o zabezpečení informací, všechny oblíbené aplikace získaly dobré hodnocení – většina z nich získala známku 3,5 nebo vyšší. Některým aplikacím pro Android bylo sníženo hodnocení kvůli tomu, že obsahují „sledovače“ uživatelských dat.
Všichni účastníci průzkumu mají většinu funkcí implementovanou na vysoké úrovni. Gett a DiDi však neumožňují zavolat taxi bez předchozího zadání adresy, ne všechny aplikace zobrazují uživateli vzdálenost, kterou auto ujelo: funkce chybí v aplikacích Pohodly, Taxovychkof a maxim. Verze DiDi pro Android nezobrazuje budovy na mapě. Pouze Taxovitchcof, Yandex.Go, Citymobile a Uber mohou opět vybrat adresu poslední cesty.
Dalším důležitým bodem pro uživatele po výběru vozu a jeho přiřazení je profil řidiče a vozu. Odborníci posuzovali, zda karta řidiče obsahuje celé jméno řidiče, jeho fotografii a hodnocení, informace o samotném vozidle, informace o společnosti dopravce, datum registrace řidiče u taxislužby.
Stejně jako v minulé studii i zde existují značné rozdíly mezi aplikacemi v míře vyplnění profilů řidičů, od prakticky neexistujícího profilu řidiče u aplikací Poholy, Omega a TapTaxi až po plně informativní kartu s fotografií u aplikací Yandex Go, DiDi a Gett.
Další důležitou skupinou kritérií pro uživatele jsou cestovní přání. Pokud má uživatel malé dítě, těžké zavazadlo nebo zvíře, je velmi důležité mít k dispozici vhodné filtry. Studie ukázala, že absence takových filtrů je u některých aplikací stále problémem. DiDi, Gett, TapTaxi a Uber mají nejméně možností, jak si přát cestovat.
Dále byla vyhodnocena přítomnost SOS tlačítka: je k dispozici v aplikacích Omega, Let’s go, Yandex Go a maxim, stejně jako v DiDi a Citymobile. Tato funkce umožňuje jedním dotykem vytočit číslo 112 nebo sdílet svou polohu s důvěryhodnými kontakty. Tato funkce by mohla být pro některé lidi rozhodujícím faktorem při výběru služby.
V porovnání s předchozím průzkumem se výrazně zvýšila obliba možnosti zařadit konkrétního řidiče na černou listinu v aplikaci většina z nich to zavedla prostřednictvím žádosti o podporu, ale jsou i tací, kteří dávají možnost zablokovat řidiče přímo . Ukázka uživatelského hodnocení podobně jako hodnocení řidiče byla zvažována bez hodnocení, pouze Yandex Go ji má otevřenou pro cestující. Společnost Citymobile má podobnou úroveň uživatelského účtu.
Při zkoumání aplikací z hlediska bezpečnosti odborníci posuzovali, zda služba požaduje pouze minimum požadovaných údajů a oprávnění uživatele a zda může uživatel účet odstranit. Bezpečnost přenosu dat aplikace a uživatelských dat byla analyzována odděleně. Odborníci zachytili veškerý provoz, který aplikace odesílá, pomocí specializovaného softwaru Wireshark a poté jej analyzovali na přítomnost nešifrovaných dat. Všechny aplikace úspěšně zvládly odposlech provozu – nebyly zjištěny žádné zranitelnosti.
Bylo také zavedeno nové kritérium: přítomnost analytických sledovacích zařízení, která shromažďují informace o uživateli. Vývojáři je přidávají z dobrého důvodu – aby mohli analyzovat chování uživatelů a využít tyto informace k vývoji aplikace. Bezplatné trackery velkých společností jako je Facebook nebo Google však s sebou nesou další bezpečnostní rizika: IT giganti získávají statistické údaje bez vědomí uživatele. Z tohoto důvodu byla přítomnost těchto sledovacích zařízení ve studii považována za mínus. V aplikacích pro iOS nebyly nalezeny žádné takové moduly a aplikace pro Android byly v tomto kritériu hodnoceny hůře.
V 60 % aplikací je závazná bankovní karta realizována prostřednictvím 3-D Secure. Jedná se o kód zaslaný prostřednictvím SMS, aby služba mohla ověřit, že karta skutečně patří vám. Teoreticky by její absence mohla útočníkům umožnit propojit cizí kartu s účtem a následně provádět další platby ukradenou kartou nebo jednoduše převzít její údaje.
Kromě toho odborníci Roskachestvo zkontrolovali všechny aplikace pro Android na zranitelnosti a VOA pomocí technologie automatické binární analýzy bez zpětného inženýrství dekompilace zdrojového kódu . Byly zjištěny tyto potenciální zranitelnosti: adresování DNS v 50 % případů, nezabezpečený odraz ve 30 % zkoumaných aplikací, nezabezpečená nativní implementace SSL ve 20 %. Slabý hashovací algoritmus v 80 % zkoumaných aplikací, nezabezpečený protokol HTTP v 70 %. Integrace do databázových dotazů SQLite – 20%.
Kromě 20 známých aplikací, které byly zahrnuty do průzkumu, testovali odborníci také bezpečnost 63 dalších méně populárních aplikací: 36 pro Android a 27 pro iOS.
Na platformě iOS byly otevřeně přenášeny pouze geolokační údaje uživatelů, mezi nimiž bylo zachyceno 6 aplikací NonStop: objednávání taxi; Taxi Pobeda; DA TAXI Tyumen a Taxi Variant. Na platformě Android situace vypadá hůře – tak, odborníci identifikovali 2 aplikace – „SV-TAXI. Call Taxi“ a „UpTaxi všechna města „, které kromě výše uvedených geolokačních údajů předávají veřejně přístupné osobní údaje uživatele. telefonní číslo v jednom případě a přihlašovací údaje telefonní číslo a heslo a model zařízení v druhém případě. Kromě přímého ohrožení dat by tato zranitelnost mohla vést k dalším útokům ze strany nepoctivých uživatelů.
Dále byly identifikovány 3 aplikace pro Android, které přenášely nešifrované geolokační údaje uživatele, a to „Taxi Order GOST“, „My City“ a Taxi Saturn+“. Stejně jako v případě systému iOS je tato zranitelnost, i když není kritická, z hlediska digitální bezpečnosti nežádoucí.
Samostatným problémem platformy Android jsou nadbytečné nebo skryté přístupy aplikací, které aplikacím poskytují skryté funkce a v některých případech mohou být dokonce škodlivé. Například 17 z 36 aplikací pro systém Android má přístup ke stavu telefonu, 8 z 36 aplikací má přístup k zobrazení kontaktů a 6 z 36 aplikací má přístup k telefonování.
Mezi aplikacemi, kde byly vyžádány všechny uvedené nadbytečné přístupy, je „SV-TAXI“. Zavolejte si taxi“, „Taxi Nam Puti“ a Faem.Taxi. Takové aplikace nedoporučuje Roskachestvo stahovat.
Přezkum zásad ochrany osobních údajů v aplikacích pro objednávání taxislužby z hlediska souladu se zákonem o osobních údajích č. 152-FZ ze dne 27. prosince 2011 .07.2006 provedli právníci z Autonomní neziskové organizace PravoRobotov. Celkově si všechny zkoumané aplikace vedly z právního hlediska dobře a získaly 4 a více bodů. Výjimkou byl Taxovitchkof, jehož aplikace měla v době průzkumu nefunkční odkaz na zásady ochrany osobních údajů. V době zveřejnění studie nebyl problém odstraněn. Nicméně všechny služby, s výjimkou Taxovichkof, sdílejí údaje se spřízněnými třetími stranami.
Otázky životního a zdravotního pojištění cestujících v osobní taxislužbě jsou již několik let v neustálém centru pozornosti veřejných orgánů i celé společnosti. V rámci průzkumu Roskatchestvo a právníci z PravoRobotov analyzovali informace o pojištění v příslušných aplikacích. Pouze tři z nich Citimobile, Yandex.Služba „Taxi“ a Gett automaticky pojišťuje cestujícího během cesty, přičemž pojištění cestujících je svěřeno třetí straně. Ostatní služby tak či onak přenášejí odpovědnost za mimořádné události na bedra řidiče a/nebo cestujícího a nutí souhlasit s tím, že dopravce ve skutečnosti „neposkytuje dopravní ani logistické služby“ a nepřijímá nároky včetně takové formulace služby Uber, kterou vlastní společnost Yandex .
Stanislav Shvagerus, vedoucí kompetenčního centra Mezinárodního euroasijského fóra taxislužby.
„V Ruské federaci je praxe pojištění cestujících dobrovolná a je ve skutečnosti konkurenční výhodou agregátora na trhu. Dobrovolnost takového pojištění však s sebou nese značná rizika pro cestující v taxislužbě. Zatímco povinné pojištění jasně definuje, jak mají být platby prováděny, výše pojistného plnění je určena jak zákonem o pojištění, tak článkem 34 „odpovědnost nájemce“ spolkového zákona ze dne 8. listopadu 2007. č. 259-FZ „Statut automobilové dopravy a městské pozemní elektrické dopravy“, v případě dobrovolného pojištění odpovědnosti agregátorů se tento postup a výše plateb stanoví dohodou mezi pojistitelem a agregátorem. Z toho vyplývají extrémně nízké částky skutečného odškodnění za život a zdraví cestujících v osobní taxislužbě“
Zvláštním případem jsou takzvaní agregátoři „druhé úrovně“, kteří dosud nemají pojištěnou odpovědnost nebo zřízené „fondy odškodnění“. Tito agregátoři zpravidla ve svých interních předpisech uvádějí, že „neodpovídají za veřejnou zakázku na osobní taxislužbu, kterou uzavírají, a že veškerou odpovědnost vůči cestujícímu nese řidič taxislužby“. Tito agregátoři si neuvědomují, že podle článku 37 spolkového zákona ze dne 8. listopadu 2007 o „neplatnosti dohod“ se „neplatnost dohody“ neuplatňuje. N 259-FZ „Charta silniční dopravy a městské pozemní elektrické dopravy“, jsou tyto dokumenty neplatné.
Soudní praxe v oblasti náhrady škody na životě a zdraví cestujících v osobní taxislužbě je rozsáhlá a spočívá v hromadném uznávání odpovědnosti provozovatelů taxislužby za škodu způsobenou cestujícím v osobní taxislužbě na základě smlouvy o nájmu osobní taxislužby. Ověřte si, zda vámi oblíbená taxislužba splňuje bezpečnostní požadavky a dodržuje literu zákona?
Studie byla provedena v souladu s metodikou testování založenou na prozatímním národním standardu pro srovnávací testování mobilních aplikací PNST 277-2023.
Vážení čtenáři, mohl byste mi prosím podělit o další informace ohledně nebezpečných aplikací pro volání taxi, které Roskatchestvo identifikovalo? Jaké jsou hlavní problémy s těmito aplikacemi a jak bychom se měli chránit před riziky spojenými s jejich používáním? Děkuji za vaše sdílení znalostí a rady.