Роскачество назвало минусы приложений для аренды самокатов и велосипедов
Опубликованы результаты нового исследования Роскачества.
Роскачество опубликовало результаты нового исследования о главных уязвимостях приложений для аренды самокатов и велосипедов.
Рынок аренды самокатов в России стремительно растет. До конца года прогнозируется его увеличение на 300%: в рублях это 10 миллиардов. Намерения инвестировать в сервисы микромобильного транспорта высказали такие крупные компании, как Яндекс, mail.ru, МТС и Сбербанк. Абсолютное большинство транспорта - около 60 тысяч самокатов - приходится на долю сервисов Urent и Whoosh.
Рынок аренды велосипедов развивается медленнее. В этом году сезон велопроката начался на месяц раньше обычного, в первых числах апреля. Дептранс Москвы объяснил это тем, что в год пандемии услуга проката велосипеда через приложение стала очень востребованной у населения (более 8 миллионов поездок).
Пользователей приложений для аренды все больше. Роскачество оценило информационную безопасность таких приложений и предупредило о рисках.
Все изученные сервисы аренды велосипедов, кроме двух, имеют доступ в приложение по одноразовым SMS-кодам, что повышает надежность и исключает риск того, что под сторонней учетной записью велосипед или самокат будут арендовать другие люди.
Специалисты также провели оценку потенциальных уязвимостей и недокументированных возможностей приложений. Наиболее значимая и распространенная - это использование незащищённого протокола HTTP (у 90% приложений на Android), с ней схожа небезопасная собственная реализация SSL (у 34%). Внедрение в запрос к базе данных SQLite зафиксировано у 22%, обращение к DNS у 82% приложений. Алгоритм шифрования у большинства приложений реализован хорошо, потенциальные уязвимости выявлены только у 12% рассмотренных приложений.
«Исследованные приложения аренды велосипедов и самокатов в большинстве своем реализованы на высоком уровне и признаны в равной степени безопасными. Ни одно из замечаний, которые можно предъявить по результатам их анализа, не влияет на непосредственный пользовательский опыт. Единственный момент, на который стоит обратить внимание – не меняющийся со временем логин и PIN-код, который теоретически можно использовать для постороннего доступа», - подчеркнул руководитель Центра цифровой экспертизы Роскачества Антон Куканов.