Рынок аренды самокатов в России стремительно растет.
До конца года прогнозируется его увеличение на 300%: в рублях это 10 миллиардов. Если в начале 2020 в России было не больше 10 тысяч самокатов, то по данным на апрель этого года на всех операторов кикшеринга приходится уже около 85 тысяч, и это не предел. Намерения инвестировать в сервисы микромобильного транспорта высказали такие крупные компании, как Яндекс, mail.ru, МТС и Сбербанк. Абсолютное большинство транспорта - около 60 тысяч самокатов - приходится на долю сервисов Urent и Whoosh.
Рынок аренды велосипедов развивается медленнее: осенью 2020 года в Москве работали 662 пункта проката велосипедов, которые обслуживали 6,5 тысяч велосипедов. Этой весной к ним добавится 67 новых станций проката и 1000 новых велосипедов, половина из которых - электрические. Это уже сопоставимо с такими городами, как Лондон (18 тысяч) или Нью-Йорк (8 тысяч). В этом году сезон велопроката начался на месяц раньше обычного, в первых числах апреля. Дептранс Москвы объяснил это тем, что в год пандемии услуга проката велосипеда через приложение стала очень востребованной у населения (более 8 миллионов поездок).
Пока ГИБДД фиксирует рост количества аварий с участием микромобильного транспорта, правительство рассматривает возможность приравнять самокаты к транспортным средствам, чтобы ограничить скорость и, как следствие, уменьшить число жертв. Однако пользователей приложений для аренды все больше. Роскачество оценило информационную безопасность таких приложений и предупредило о рисках.
Как пользоваться сервисами аренды велосипедов и самокатов?
Большинство сервисов велопроката и кикшеринга работают по одинаковой несложной схеме:
• Нужно скачать мобильное приложение и пройти процесс регистрации.
• Выбрать способ оплаты и тариф, если это предусмотрено в сервисе.
• Найти на карте ближайшую базу или самокат.
• Подойти к транспортному средству и активировать его, следуя инструкции в приложении.
При проверке кикшеринговых и велопрокатных сервисов на информационную безопасность Роскачество совместно с юристами из АНО «ПравоРоботов» также проанализировало их политики конфиденциальности. Всего было изучено 68 приложений (по 34 для iOS и Android). В исследование попали приложения, которые на момент тестирования предоставляли возможность аренды микромобильного транспорта, при этом изучались как работающие в столице, так и региональные сервисы.
Безопасность приложений оценивалась по восьми критериям:
● Запрос минимально необходимых пользовательских данных
● Запрос необходимых разрешений
● Безопасность передачи данных приложения
● Безопасность передачи пользовательских данных
● Согласие на обработку и хранение данных
● Ссылка на политику конфиденциальности
● Сложность пароля
● Удаление аккаунта
Приложения для Android также были проверены на наличие потенциальных уязвимостей с помощью анализатора уязвимостей Solar appScreener. Значительная часть приложений имеет схожую архитектуру, где меняется только дизайн и контент.
Сложность пароля
Все изученные сервисы аренды велосипедов, кроме двух, имеют доступ в приложение по одноразовым SMS-кодам, что повышает надежность и исключает риск того, что под сторонней учетной записью велосипед или самокат будут арендовать другие люди. Более низкий уровень безопасности продемонстрировали только сервисы «ВелоБайк - городской велопрокат Москвы» и «Велобайк Мультигорода». Эти приложения присылают разовый логин и PIN-код, который не меняется со временем. Узнав логин и пароль, злоумышленник может потенциально использовать сервис в своих целях, например, ездить за счет чужой привязанной карты или даже украсть транспорт, после чего вопросы у сервиса будут именно к владельцу учетной записи: ему придется доказывать, что он не виноват. Например, если велосипед не сдан после 48 часов аренды, «Велобайк» выписывает владельцу учетной записи штраф в 30 тысяч рублей. Аналогичные санкции предусмотрены и у других приложений велопроката.
Запрос только минимально необходимых пользовательских данных
Как правило, при авторизации в сервисе онлайн-проката велосипедов мы стремимся вводить абсолютный минимум своих персональных данных, но в случае с сервисом проката расширенные данные запрашивает 21% всех приложений. В частности, приложения Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Берисамокат, Bike&Go требуют имя и фамилию. E-motion оказалось единственным приложением, которое попросило при регистрации фото паспорта или водительского удостоверения (впрочем, этот шаг можно пропустить при регистрации без видимых последствий).
Запрос только необходимых разрешений
Информационная безопасность приложения во многом определяется его доступами. Для полноценной работы приложения аренды микромобильного транспорта необходимы только два: запрос местоположения и доступ к камере (чтобы отсканировать QR-код). Все остальные доступы в рамках исследования принимались за избыточные. Наибольшее количество избыточных доступов было зафиксировано у BusyFly: осуществление телефонных вызовов, отключение спящего режима, а также запуск при включении устройства. BikeMe осуществляет поиск аккаунтов на устройстве, а ScooBe
Удаление аккаунта
Ни одно из приложений, которые исследовали эксперты, кроме Whoosh, не позволяет удалить свой аккаунт при помощи реализованной в программе функции. Однако, это можно сделать, обратившись в службу поддержки сервисов. Разработчики сервиса Eleven пообещали Роскачеству добавить возможность удаления аккаунта в ближайших обновлениях.
Безопасность передачи данных
В ходе исследования специалисты Роскачества анализировали данные, которые передают приложения, перехватывая трафик с использованием специализированного ПО. У трех приложений системные данные о геолокации передаются в открытом доступе: «lite – ride here, ride now», «Зеленый город» и «Matur.city». При желании таким образом можно отследить текущее местонахождение пользователя, однако чаще человек отправляет данные о своей геолокации в момент взятия в аренду самоката или велосипеда, находясь под открытым небом. Это минимизирует риск того, что злоумышленник встроится в канал и сможет манипулировать передаваемыми данными. Более важно, что все приложения продемонстрировали безопасную передачу данных пользователя. Значит, персональные и платежные данные при использовании приложений, исследованных Роскачеством, будут в безопасности.
Согласие на обработку и хранение данных
Согласие пользователя на передачу и обработку своих данных является важнейшим принципом при предоставлении современных онлайн-услуг. В том или ином виде запрашивается согласие у всех 100% исследованных приложений, но именно активное согласие запрашивают только 24%.
Уязвимые места в приложениях онлайн-проката самокатов и велосипедов
Специалисты также провели оценку потенциальных уязвимостей и недокументированных возможностей приложений при помощи специализированного ПО «Solar appScreener». Наиболее значимая и распространенная потенциальная уязвимость — это использование незащищённого протокола HTTP (у 90% приложений на Android), с ней схожа небезопасная собственная реализация SSL (у 34%). Внедрение в запрос к базе данных SQLite зафиксировано у 22%, обращение к DNS у 82% приложений. Алгоритм шифрования у большинства приложений реализован хорошо, потенциальные уязвимости выявлены только у 12% рассмотренных приложений.
