Roskatševo tuvastas ebaturvalised taksokõne rakendused

Roskatchestvo Digital Expertise Center viis läbi uuringu 20 populaarseima mobiilse taksotellimise rakenduse kohta. Arvestades, et taksoteenused koguvad ja säilitavad meie isiku- ja makseandmeid, peavad nad turvalisuse osas laitmatult toimima. Lisaks analüüsiti rohkem kui 60 vähetuntud rakenduse infoturvet. Kahjuks ei olnud kõik neist ohutud.

Taksoturg on alates 2023. aastast pidevalt kasvanud ja kiiresti muutunud. 2023. aastal omandas Yandex mitu teenust, sealhulgas Roskatševo poolt varem analüüsitud Veset ja Rutaxi, suurendades oma üldist osakaalu ja muutes selle absoluutseks liidriks kohaloleku poolest Forbesi andmetel septembrikuu 2023 seisuga 40% üldiselt, 67% agregaatorite seas .

Selleks, et välja selgitada, kui funktsionaalsed, kvaliteetsed ja turvalised on taksotellimise rakendused, testis Roskatchestvo 20 rakendust: 10 rakendust iOS-i ja Androidi jaoks. PravoRobotovi juristid on uurinud nende teenuste privaatsuspoliitikat, et tagada nende vastavus föderaalseadusele “Isikuandmete kohta” nr 152-FZ, 27. juuni 2004 .07.2006 ja tõi esile negatiivsed ja positiivsed aspektid, millele kasutajad peaksid tähelepanu pöörama.

Sergei Bodrov, Roskatšestvo digitaalekspertiisi keskuse juhataja.

“Uuringu käigus kasutasid spetsialistid rakendusi tavakasutajatena: tellisid takso ja sõitsid linnas ringi, analüüsisid rakenduse toimimist ja funktsionaalsust, lisasid aadresse lemmikute hulka ja tellimustele soove, uurisid juhtide profiile teave juhtide, autode, vedajaettevõtte kohta ja töötasid muude tüüpiliste kasutusstsenaariumide kallal. Lisaks sellele testiti rakendusi spetsiaalse tarkvara abil turvalisuse osas. Selle tulemusena testiti kõiki põhifunktsioone, hinnates nii mugavust, infoturvet kui ka taksotellimusrakenduste toimivust ja usaldusväärsust.”

Uuringu tulemuste kohaselt jäi juhtiv rakendus Yandex Go samaks, samas kui Taxoviccof kaotas oma positsiooni ja Citimobile parandas oma positsiooni ning on nüüd mõlemal platvormil iOS ja Android kolmandal kohal.

Testitulemuste kohaselt on kõige toimivamad rakendused Yandex Go, Taxovichkof mõlemal platvormil ja Uber Androidil, samuti Citimobile iOSil. Uuringu kõige kasutajasõbralikumad rakendused olid Yandex Go, Taxovitchkof ja maxim Androidil ning Taxovitchkof ja maxim iOSil. Turvalisuse osas olid kõik populaarsed rakendused hästi hinnatud, enamik neist sai hindeks 3,5 või rohkem. Mõned Androidi rakendused alandati kasutajate andmete jälgimise eest.

Enamik funktsioone rakendati kõrgel tasemel kõigi uuringus osalejate puhul. Gett ja DiDi ei võimalda aga taksot kutsuda ilma aadressi ette andmata, kõik rakendused ei näita kasutajale, kui kaugele auto on läinud: Pohodeli, Taxovychkof ja maxim puudub see funktsioon. DiDi Android-versioon ei näita kaardil hooneid. Ainult Taxoviccof, Yandex.Go, Citymobile ja Uber saavad taas valida hiljutise sõidu aadressi.

Järgmine oluline punkt kasutaja jaoks, kui auto valik on juba tehtud ja sõiduk määratud, on juhi ja sõiduki profiil. Spetsialistid hindasid juhikaardil juhi nime, tema pilti ja reitingut, teavet auto kohta, teavet vedajaettevõtte kohta, juhi taksoteenuse registreerimise kuupäeva.

Nagu ka eelmises uuringus, on endiselt märkimisväärne erinevus selles, mil määral juhi profiil on rakenduste vahel täidetud, alates juhiprofiili praktilisest puudumisest Poholy, Omega ja TapTaxi puhul kuni täielikult informatiivse kaardini koos fotoga Yandex Go, DiDi ja Gett’i puhul.

Järgmine oluline kriteeriumide rühm kasutaja jaoks on reisimissoovid. Kui kasutajal on väike laps, raske pagas või loom, on sobivate filtrite olemasolu väga oluline. Nagu uuringust selgus, on selliste filtrite puudumine mõnes rakenduses endiselt probleemiks. DiDi, Gett, TapTaxi ja Uberil on kõige vähem võimalusi oma sõidusoovide väljendamiseks.

Lisaks hinnati SOS-nupu kättesaadavust: see on saadaval “Omega”, “Let’s go”, “Yandex Go” ja maxim, samuti DiDi ja Citimobile’is. Funktsioon võimaldab ühe nupuvajutusega valida numbri 112 või edastada oma asukoha usaldusväärsetele kontaktidele. See võib olla mõne inimese jaoks teenuse valikul otsustavaks teguriks.

Võrreldes eelmise uuringuga on muutunud populaarsemaks võimalus lisada konkreetne draiver musta nimekirja enamik neist teeb seda tugiteenusega ühendust võttes, kuid on ka neid, kes lubavad draiveri otse blokeerida . Kasutaja hinnangu kuvamist sarnaselt autojuhi hinnangule ei hinnatud, ainult Yandex Go puhul on see reisijale avatud. Citymobile’il on sarnaselt mõttekas kasutajakonto tase.

Rakenduste turvalisuse kontrollimisel hindasid eksperdid, kas teenus küsib ainult minimaalselt vajalikke kasutajaandmeid ja -õigusi ning kas kasutaja saab konto kustutada. Rakenduse ja kasutajaandmete andmeedastuse turvalisuse eraldi analüüsimine. Eksperdid kasutasid spetsiaalset tarkvara Wireshark , et jäädvustada kogu rakenduse poolt saadetud liiklus ja seejärel analüüsisid seda krüpteerimata andmete olemasolu suhtes. Kõik rakendused said edukalt hakkama liikluse kaaperdamisega – haavatavusi ei leitud.

Lisandunud on ka uus kriteerium: analüütiliste jälgimisseadmete olemasolu, mis koguvad teavet kasutaja kohta. Need on lisatud arendajate poolt heal eesmärgil – et analüüsida kasutajate käitumist ja kasutada seda teavet rakenduse arendamiseks. Suurettevõtete nagu Facebook või Google tasuta jälgimisseadmed kujutavad endast aga turvalisuse seisukohalt täiendavaid riske: IT-hiiglased saavad statistilisi andmeid ilma kasutaja vajaduseta. Seetõttu peeti selliste jälgimisseadmete olemasolu uuringus miinuseks. iOSi rakendustes ei tuvastatud ühtegi sellist moodulit, samas kui Androidi rakendused said selle kriteeriumi osas madalama hinde.

Pangakaartide sidumine 60% rakendustest, mis kasutavad 3-D Secure’i. See on kood, mis saadetakse SMS-i teel ja on vajalik selleks, et teenus saaks kontrollida, kas kaart tõesti kuulub teile. Teoreetiliselt võib selle puudumine võimaldada küberkurjategijatel siduda kellegi teise kaardi oma kontoga ja seejärel teha makseid varastatud kaardiga või lihtsalt selle andmeid üles korjates.

Lisaks testisid Roskatchestvo eksperdid kõiki Android-rakendusi Solar appScreener analüsaatoriga haavatavuste ja NPV-de suhtes, kasutades automaatset binaaranalüüsi tehnoloogiat, ilma pöördtehnoloogiata lähtekoodi dekompileerimine . Tuvastati järgmised võimalikud haavatavused: DNS-i käsitlemine 50% juhtudest, ebaturvaline peegeldus 30% uuritud rakendustest, ebaturvaline algupärane SSL-i rakendamine 20%-l juhtudest. 80% analüüsitud rakendustest on nõrk hashingualgoritm, 70% rakendustest kasutavad ebaturvalist HTTP-protokolli. SQLite andmebaasi päring – 20%.

Lisaks uuringusse kaasatud 20 tuntud rakendusele testisid eksperdid veel 63 vähemtuntud rakenduse turvalisust: 36 Androidil ja 27 iOSil, vastavalt.

iOSi platvormil edastati tellimise ajal avalikult ainult kasutaja geograafilised asukohaandmed. 6 rakendust jäid vahele, sealhulgas NonStop: takso tellimise teenus; Taxi Pobeda; DA TAXI Tyumen ja Taxi Variant. Androidi puhul näeb olukord halvem välja – näiteks leidsid eksperdid 2 rakendust – “SV-TAXI. Helista takso” ja “UpTaxi kõik linnad “, mis lisaks eespool nimetatud geograafilise asukoha andmetele edastab avatud juurdepääsuga ja kasutaja isikuandmeid. Ühel juhul telefoninumber ja teisel juhul volitused telefoninumber ja parool ning seadme mudel. See haavatavus võib lisaks andmete otsesele ohustamisele viia edasiste rünnakuteni petturite poolt kasutajate vastu.

Samuti avastati kolm Androidil põhinevat rakendust, mis edastasid krüpteerimata geolokatsiooniandmeid, nimelt “Order GOST Taxi”, “My City” ja “Taxi Saturn+”. Nagu iOS-i puhul, ei ole see haavatavus küll kriitiline, kuid digitaalse turvalisuse seisukohast on see siiski ebasoovitav.

Eraldi probleemiks Androidi platvormil on üleliigsed või varjatud rakenduste ligipääsud, mis annavad rakendustele varjatud funktsioone ja mõnel juhul võivad need olla isegi pahatahtlikud. Näiteks saavad 36 Android-rakendusest 17 juurdepääsu telefoni olekule, 8 rakendust 36-st juurdepääsu kontaktidele ja 6 rakendust 36-st juurdepääsu telefonikõnede tegemisele.

Rakendustest, mille puhul on taotletud kõiki ülaltoodud üleliigseid juurdepääsusid, võib märkida järgmist: SV-TAXI. Helista takso, Takso Nam Puti ja Faem.Takso. Roskatchestvo ei soovita selliste rakenduste allalaadimist.

Kontrollida, kas taksotellimuse rakenduste privaatsuspoliitika vastab seadusele “Isikuandmete kohta” nr 152-FZ, 27. august 2006 .07.2006 viisid läbi sõltumatu mittetulundusühingu PravoRobotov juristid. Kokkuvõttes on kõik uuritud rakendused õiguslikult hästi sooritatud, saades 4 punkti või rohkem. Erandiks oli Taxovychkof, kelle lisas ei olnud küsitluse ajal linki privaatsuspoliitikale. Uuringu avaldamise ajal ei olnud probleemi veel parandatud. Sellest hoolimata edastavad kõik teenused, välja arvatud Taxovychkof, andmeid seotud kolmandatele isikutele.

Taksosõitjate elu- ja tervisekindlustuse küsimused on juba mitu aastat olnud riigiasutuste ja ühiskonna tähelepanu all. Uuringu raames analüüsisid Roskatchestvo ja PravoRobotovi juristid kindlustust puudutavat teavet vastavates rakendustes. Ainult kolm neist Citimobile, Yandex…Taxi” ja Gett teenus kindlustab reisijat automaatselt reisi ajal, kusjuures reisijate kindlustus on delegeeritud kolmandale isikule. Ülejäänud teenused nihutavad ühel või teisel viisil vastutuse hädaolukordade eest juhi ja/või reisija õlgadele ning sunnivad inimesi nõustuma, et tegelikult ei paku vedaja “veo- ega logistikateenuseid” ega võta vastu nõudeid sh selline sõnastus on ka Yandexile kuuluvas Uber’i teenuses .

Stanislav Shvagerus, Rahvusvahelise Euraasia Taksofoorumi kompetentsikeskuse juht.

“Eesti Föderatsioonis on reisijate kindlustamise praktika vabatahtlik ja see on tegelikult agregaatori konkurentsieelis turul. Sellise kindlustuse vabatahtlikkus toob aga taksosõitjate jaoks kaasa märkimisväärseid riske. Kuigi kohustuslik kindlustus määratleb selgelt maksmise korra, määratakse kindlustusmakse suurus kindlaks nii kindlustusõigusega kui ka 8. novembri 2007. aasta föderaalseaduse artikliga 34 “Chartereri vastutus”. N 259-fz “Autotranspordi ja maapealse elektrilise linnatranspordi põhimäärus”, siis agregaatorite vastutuse vabatahtliku kindlustuse korral määratakse see kord ja maksete suurus kindlaks kindlustusandja ja agregaatori vahelise kokkuleppega. Seetõttu on tegelikud hüvitised takso sõitjate elu ja tervise eest äärmiselt väikesed”

Eraldiseisvad on nn “teise astme” agregaatorid, kes ei ole veel kindlustanud oma vastutust ega organiseerinud “maksefonde”. Sellised ühendajad täpsustavad tavaliselt oma sisekorraeeskirjades, et “nad ei vastuta nende sõlmitud autotakso avaliku lepingu eest ja et kogu vastutus sõitja ees lasub autotakso juhil”. Need koondajad jätavad tähelepanuta asjaolu, et vastavalt 8. novembri 2007. aasta föderaalseaduse artiklile 37 “Lepingute kehtetus” on. N 259-fz “Autotranspordi ja maapealse elektritranspordi põhimäärus”, sellised dokumendid on kehtetud.

Reisijatakso reisijate elu- ja tervisekahjude hüvitamist käsitlev kohtupraktika on ulatuslik ja seisneb selles, et taksoettevõtjad vastutavad massiliselt reisijatakso reisijatele reisijatakso taksolepingu alusel tekitatud kahju eest. Uurige, kas teie lemmik taksoteenus on turvaline ja vastab seadusele?

Uuring viidi läbi vastavalt testimise metoodikale, mis põhineb mobiilirakenduste võrdlusuuringu ajutisel riiklikul standardil PNST 277-2023.