Новости по-русски

Роскачество назвало уязвимые места приложений по аренде велосипедов

АиФ 

Эксперты Роскачества опубликовали результаты нового исследования и назвали главные уязвимости приложений для аренды самокатов и велосипедов.

Сегодня в России наблюдается стремительный рост рынка аренды самокатов. До конца года прогнозируется его увеличение на 300%, что в денежном эквиваленте равняется 10 миллиардам рублей. Как отмечают специалисты, в начале 2020 года в России число самокатов не превышало 10 тысяч. Уже по данным на апрель текущего года на всех операторов кикшеринга приходится уже около 85 тысяч. И это не предел.

Намерения инвестировать в сервисы микромобильного транспорта высказали такие крупные компании, как Яндекс, mail.ru, МТС и Сбербанк. Абсолютное большинство транспорта — а это почти 60 тысяч самокатов — приходится на долю сервисов Urent и Whoosh.

Чуть медленнее развивается рынок аренды велосипедов. Осенью 2020 года в Москве работали 662 пункта проката велосипедов. Они обслуживали 6,5 тысячи велосипедов. Весной 2021-го к ним добавилось 67 новых станций проката и 1000 новых велосипедов, половина из которых — электрические. Такие показатели ставят российскую столицу в один ряд с Лондоном и Нью-Йорком.

В этом году сезон велопроката начался на месяц раньше обычного, в первых числах апреля. Дептранс Москвы объяснил это тем, что в год пандемии услуга проката велосипеда через приложение стала очень востребованной у населения. В столице было совершено более 8 миллионов поездок.

стати, сейчас Правительство России рассматривает возможность приравнять самокаты к транспортным средствам. За счет их небольшой скорости можно будет снизить число жертв ДТП с участием микромобильного транспорта.

На фоне растущего числа предложений об аренде велосипедов и самокатов растет и число пользователей приложений. Роскачество оценило информационную безопасность таких приложений и предупредило о рисках.

Как отмечают специалисты, большинство сервисов велопроката и кикшеринга работают по одинаковой несложной схеме:

пользователь скачивает приложение и регистрируется;выбирает способ оплаты и тариф, если это предусмотрено в сервисе;находит на карте ближайшую базу или самокат.активирует согласно инструкции выбранное транспортное средств.

Эксперты Роскачества совместно с юристами из АНО «ПравоРоботов» также проанализировали политику конфиденциальности кикшеринговых и велопрокатных сервисов. Всего было изучено 68 приложений для операционных систем iOS и Android. В исследование попали приложения, которые на момент тестирования предоставляли возможность аренды микромобильного транспорта. При этом изучались как работающие в столице, так и региональные сервисы.

Безопасность приложение специалисты оценивали по восьми критериям:

— запрос минимально необходимых пользовательских данных;

— запрос необходимых разрешений;

— безопасность передачи данных приложения;

— безопасность передачи пользовательских данных;

— согласие на обработку и хранение данных;

— ссылка на политику конфиденциальности;

— сложность пароля;

— удаление аккаунта.

Дополнительно на наличие потенциальных уязвимостей проверялись приложения для Android.

Как правило, доступ почти во все такие сервисы происходит по одноразовым SMS-кодам. Это исключает риск того, что под учетной записью одного пользователя транспорт арендуют другие люди. Разовый логин и PIN-код, который не меняется со временем, присылают только два из 68 приложений. Это снижает уровень безопасности и может привести к тому, что приложением будут пользоваться мошенники, но платить все равно придется держателю привязанной к нему карты. Например, за возврат велосипеда в неположенное время клиента могут оштрафовать на сумму до 30 тысяч рублей.

О достаточно высокой информационной безопасности используемых приложений для аренды говорит минимальная запрашиваемость ввода личных данных. В случае с сервисом проката расширенные данные запрашивает 21% всех приложений.

Для полноценной работы приложения аренды микромобильного транспорта необходимы только два: запрос местоположения и доступ к камере (чтобы отсканировать QR-код). Все остальные доступы в рамках исследования эксперты сочли избыточными. Так, 85 % проанализированных приложений на платформе Android избыточный доступ не запрашивают, на IOS эта цифра еще выше в силу особенностей самой операционной системы.

Подавляющее число приложений не позволят удалить свой аккаунт при помощи встроенной функции. Для этого пользователям необходимо будет обратиться в службу поддержки сервисов

Важнейшим принципом при предоставлении современных онлайн-услуг является согласие пользователя на передачу и обработку своих данных. Согласие в том или ином виде запрашивается у всех 100% исследованных приложений. Однако именно активное согласие запрашивают только 24%.

В ходе исследования специалисты также выявили уязвимые места в приложениях онлайн-проката самокатов и велосипедов. Наиболее значимая и распространенная потенциальная уязвимость — это использование незащищённого протокола HTTP.

По итогам исследования эксперты Роскачества заключили, что исследуемые в России сервисы показали высокий уровень защищенности. При этом у 53% разработчиков отсутствуют данные третьих лиц (в т.ч., ИНН или ОГРН). Еще у 9% приложений в документации политики конфиденциальности отсутствует информация о хранении данных на территории РФ.

Как отмечает руководитель Центра цифровой экспертизы Роскачества Антон Куканов, в большинстве своем приложения аренды велосипедов и самокатов реализованы на высоком уровне и признаны в равной степени безопасными. Ни одно из замечаний, которые можно предъявить по результатам их анализа, не влияет на непосредственный пользовательский опыт. Единственный момент, на который стоит обратить внимание – не меняющийся со временем логин и PIN-код, который теоретически можно использовать для постороннего доступа.

Читайте на 123ru.net