Рынок аренды самокатов в России стремительно растет. До конца года прогнозируется его увеличение на 300%: в рублях это десять миллиардов. Рынок аренды велосипедов развивается медленнее. Пока ГИБДД фиксирует рост количества аварий с участием микромобильного транспорта, правительство рассматривает возможность приравнять самокаты к транспортным средствам, чтобы ограничить скорость и, как следствие, уменьшить число жертв. Однако пользователей приложений для аренды все больше. Роскачество оценило информационную безопасность таких приложений и предупредило о рисках.
Как пользоваться сервисами аренды велосипедов и самокатов?
Большинство сервисов велопроката и кикшеринга работают по одинаковой несложной схеме:
• Нужно скачать мобильное приложение и пройти процесс регистрации.
• Выбрать способ оплаты и тариф, если это предусмотрено в сервисе.
• Найти на карте ближайшую базу или самокат.
• Подойти к транспортному средству и активировать его, следуя инструкции в приложении.
При проверке кикшеринговых и велопрокатных сервисов на информационную безопасность Роскачество совместно с юристами из АНО «ПравоРоботов» также проанализировало их политики конфиденциальности. Всего было изучено 68 приложений (по 34 для iOS и Android). В исследование попали приложения, которые на момент тестирования предоставляли возможность аренды микромобильного транспорта, при этом изучались как работающие в столице, так и региональные сервисы.
Безопасность приложений оценивалась по восьми критериям:
● Запрос минимально необходимых пользовательских данных
● Запрос необходимых разрешений
● Безопасность передачи данных приложения
● Безопасность передачи пользовательских данных
● Согласие на обработку и хранение данных
● Ссылка на политику конфиденциальности
● Сложность пароля
● Удаление аккаунта
Приложения для Android также были проверены на наличие потенциальных уязвимостей с помощью анализатора уязвимостей Solar appScreener. Значительная часть приложений имеет схожую архитектуру, где меняется только дизайн и контент.
Сложность пароля
Все изученные сервисы аренды велосипедов, кроме двух, имеют доступ в приложение по одноразовым SMS-кодам, что повышает надежность и исключает риск того, что под сторонней учетной записью велосипед или самокат будут арендовать другие люди. Более низкий уровень безопасности продемонстрировали только сервисы «ВелоБайк - городской велопрокат Москвы» и «Велобайк Мультигорода». Эти приложения присылают разовый логин и PIN-код, который не меняется со временем. Узнав логин и пароль, злоумышленник может потенциально использовать сервис в своих целях, например, ездить за счет чужой привязанной карты или даже украсть транспорт, после чего вопросы у сервиса будут именно к владельцу учетной записи: ему придется доказывать, что он не виноват. Например, если велосипед не сдан после 48 часов аренды, «Велобайк» выписывает владельцу учетной записи штраф в 30 тысяч рублей. Аналогичные санкции предусмотрены и у других приложений велопроката.
Запрос только минимально необходимых пользовательских данных
Как правило, при авторизации в сервисе онлайн-проката велосипедов мы стремимся вводить абсолютный минимум своих персональных данных, но в случае с сервисом проката расширенные данные запрашивает 21% всех приложений. В частности, приложения Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Берисамокат, Bike&Go требуют имя и фамилию. E-motion оказалось единственным приложением, которое попросило при регистрации фото паспорта или водительского удостоверения (впрочем, этот шаг можно пропустить при регистрации без видимых последствий).
Запрос только необходимых разрешений
Информационная безопасность приложения во многом определяется его доступами. Для полноценной работы приложения аренды микромобильного транспорта необходимы только два: запрос местоположения и доступ к камере (чтобы отсканировать QR-код). Все остальные доступы в рамках исследования принимались за избыточные. Наибольшее количество избыточных доступов было зафиксировано у BusyFly: осуществление телефонных вызовов, отключение спящего режима, а также запуск при включении устройства. BikeMe осуществляет поиск аккаунтов на устройстве, а ScooBee запрашивает разрешение на показ поверх всех окон - это один из самых потенциально опасных доступов. 85 % проанализированных приложений на платформе Android избыточный доступ не запрашивают, на IOS эта цифра еще выше в силу особенностей самой операционной системы.
Удаление аккаунта
Ни одно из приложений, которые исследовали эксперты, кроме Whoosh, не позволяет удалить свой аккаунт при помощи реализованной в программе функции. Однако, это можно сделать, обратившись в службу поддержки сервисов. Разработчики сервиса Eleven пообещали Роскачеству добавить возможность удаления аккаунта в ближайших обновлениях.
Безопасность передачи данных
В ходе исследования специалисты Роскачества анализировали данные, которые передают приложения, перехватывая трафик с использованием специализированного ПО. У трех приложений системные данные о геолокации передаются в открытом доступе: «lite – ride here, ride now», «Зеленый город» и «Matur.city». При желании таким образом можно отследить текущее местонахождение пользователя, однако чаще человек отправляет данные о своей геолокации в момент взятия в аренду самоката или велосипеда, находясь под открытым небом. Это минимизирует риск того, что злоумышленник встроится в канал и сможет манипулировать передаваемыми данными. Более важно, что все приложения продемонстрировали безопасную передачу данных пользователя. Значит, персональные и платежные данные при использовании приложений, исследованных Роскачеством, будут в безопасности.
Согласие на обработку и хранение данных
Согласие пользователя на передачу и обработку своих данных является важнейшим принципом при предоставлении современных онлайн-услуг. В том или ином виде запрашивается согласие у всех 100% исследованных приложений, но именно активное согласие запрашивают только 24%.
Уязвимые места в приложениях онлайн-проката самокатов и велосипедов
Специалисты также провели оценку потенциальных уязвимостей и недокументированных возможностей приложений при помощи специализированного ПО «Solar appScreener». Наиболее значимая и распространенная потенциальная уязвимость — это использование незащищённого протокола HTTP (у 90% приложений на Android), с ней схожа небезопасная собственная реализация SSL (у 34%). Внедрение в запрос к базе данных SQLite зафиксировано у 22%, обращение к DNS у 82% приложений. Алгоритм шифрования у большинства приложений реализован хорошо, потенциальные уязвимости выявлены только у 12% рассмотренных приложений.
Правовая оценка
Политики конфиденциальности всех приложений получили достаточно высокие оценки. Из недостатков - не все приложения указывают в документе информацию о хранении данных на территории РФ – она отсутствует у 9% приложений, среди них можно отметить MOLNIA, VEZU и Red Wheels. Также разработчик обязан указывать в политике все идентификаторы третьих лиц, в том числе их наименование ИНН или ОГРН, но подобные данные отсутствуют в 53% случаев. У Bike&Go и GoBike предусматривается возможность трансграничной передачи персональных данных. У GreenBee, «Зеленого Города» и Seagull правообладателем всей персональной информации, полученной в рамках пользования сервисом, является ИП. А «Велобайк» официально запрещает использовать прокатный велосипед в качестве имущественного вклада в хозяйственные товарищества и общества.
Рекомендации Роскачества
«В целом риск при использовании приложений велопроката маловероятен, и приложения от крупных игроков данного рынка рекомендуются Роскачеством к использованию. Будьте, однако, осторожны при скачивании приложений малоизвестных сервисов и всегда обращайте внимание на доступы, которые требуются при установке. При выборе сервиса имейте в виду, что они предоставляют свои зоны покрытия и парковки, что важно при планировании маршрута», – рекомендует руководитель Центра цифровой экспертизы Роскачества Антон Куканов.
В исследовании оценивались следующие приложения на двух мобильных платформах:
Bike&Go, BikeMe, Bumerang (Lifcar), BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Альметьевск, GreenBee, lite, LuckyBike, Matur.city, MOLNIA, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, VEZU, Volt, Whoosh, YES Sharing, ZEVS, «Берисамокат», «ВелоБайк», «Велобайк Мультигорода», «Зеленый город», «Карусель», «Ситимобил».