Roskachestvo afslører usikre apps til taxaopkald

Roskatchestvo’s Digital Expertise Center gennemførte en undersøgelse af de 20 mest populære apps til bestilling af mobiltaxaer. Da taxitjenester indsamler og opbevarer vores personlige data og betalingsdata, skal de fungere upåklageligt med hensyn til sikkerhed. Informationssikkerheden i mere end 60 dårligt kendte applikationer blev desuden analyseret. Desværre var ikke alle af dem sikre.

Siden 2023 har taxamarkedet været i konstant vækst og ændret sig hurtigt, i 2023 blev flere tjenester, herunder “Veset” og “Rutaxi”, der tidligere blev analyseret af Roskachevo, erhvervet af Yandex, hvilket øgede dets samlede andel og gjorde det til den absolut førende i tilstedeværelse 40% samlet, 67% blandt aggregatorer, fra september 2023 ifølge Forbes .

For at finde ud af, hvor funktionelle, kvalitetsmæssige og sikre taxabestillingsapps er, testede Roskachestvo 20 apps: 10 apps til iOS og Android hver. Og advokater fra “PravoRobotov” undersøgte privatlivspolitikker for tjenester for overholdelse af den føderale lov “Om persondata” № 152-FZ fra 27.07.2006 og fremhævede negative og positive aspekter, som brugerne bør være opmærksomme på.

Sergey Bodrov, leder af Roskachevo Digital Expertise Center.

“Under undersøgelsen brugte eksperterne applikationerne som almindelige brugere: bestilte en taxa og kørte rundt i byen, analyserede applikationen og dens funktionalitet, tilføjede adresser til favoritter og anmodninger om bestillinger, studerede chaufførprofiler oplysninger om chauffører, biler og transportfirma og praktiserede andre typiske brugsscenarier. Derudover blev apps testet for sikkerhed ved hjælp af specialiseret software. Som resultat heraf blev alle nøglefunktioner testet, og bekvemmeligheden, informationssikkerheden samt ydeevnen og pålideligheden af taxabestillingsapplikationerne blev evalueret

Ifølge resultaterne af undersøgelsen forblev den førende app den samme Yandex Go , Taxoviccof gav plads til Uber, mens Citimobile forbedrede sin position og nu rangerer på tredjepladsen på begge platforme iOS og Android .

Ifølge testresultaterne er de mest funktionelle apps Yandex Go, Taxovichkof på begge platforme og Uber på Android, samt Citimobile på iOS. Yandex Go, Taxoviccof og maxim på Android, samt Taxoviccof og maxim på iOS. Med hensyn til informationssikkerhed klarede alle populære applikationer sig godt – de fleste scorede 3,5 eller højere. Nogle Android-apps blev nedgraderet på grund af tilstedeværelsen af “trackere” af brugerdata.

Alle deltagere i undersøgelsen har de fleste af funktionerne implementeret på et højt niveau. Gett og DiDi gør det dog ikke muligt at tilkalde en taxa uden at have angivet adressen på forhånd; ikke alle applikationer viser den resterende afstand mellem køretøjet og brugeren: denne funktion er ikke til stede i Pokhely, Taxovychkof og maxim. Android-versionen af DiDi viser ikke bygninger på kortet. Kun Taxoviccof, Yandex.Go, Citymobile og Uber kan igen vælge en ny adresse for en nylig tur.

Det næste vigtige punkt for brugeren, når valget af bil allerede er foretaget og bilen er tildelt, er føreren og bilprofilen. Eksperterne vurderede, om førerens navn, førerens foto og rating, oplysninger om selve køretøjet, oplysninger om vognmandsfirmaet og data om datoen for førerens registrering i taxitjenesten var medtaget på førerkortet.

Som i den tidligere undersøgelse er der stadig en betydelig variation mellem apps med hensyn til, hvor komplet chaufførprofilen er, lige fra næsten ingen chaufførprofil i Poholyad, Omega og TapTaxi til et fuldt informativt kort med foto i Yandex Go, DiDi og Gett.

Den næste vigtige gruppe af kriterier for brugeren er rejseønsker. Hvis brugeren har et lille barn, tung bagage eller et dyr, er det meget vigtigt at have passende filtre. Manglen på sådanne filtre er stadig et problem for nogle apps, som undersøgelsen har vist. DiDi, Gett, TapTaxi og Uber har de færreste muligheder for anmodninger om kørsel.

Desuden blev tilstedeværelsen af en SOS-knap vurderet: Omega, Let’s Go, Yandex Go og maxim samt DiDi og Citimobile har en sådan knap. Denne funktion giver dig mulighed for at ringe 112 med et enkelt tryk eller dele din placering med betroede kontakter. Denne funktion kan være afgørende for nogle mennesker, når de vælger en tjeneste.

Sammenlignet med tidligere undersøgelser er muligheden for at sortliste en bestemt chauffør i appen de fleste gør det ved at kontakte supporttjenesten, men der er også dem, der giver dig mulighed for at blokere chaufføren direkte blevet mere populær. Visning af en brugerbedømmelse svarende til en chaufførbedømmelse blev overvejet uden evaluering; kun Yandex Go har den åben for passageren. Citimobile har et tilsvarende meningsfuldt brugerkontoniveau.

Ved undersøgelsen af apps med hensyn til sikkerhed vurderede eksperterne, om tjenesten kun beder om det minimum af nødvendige brugerdata og tilladelser, og om brugeren kan slette kontoen. Separat analyse af sikkerheden ved overførsel af appdata og brugerdata. Til dette formål optog eksperterne al trafik, som programmet sender, ved hjælp af specialiseret software Wireshark og analyserede den derefter for at finde ukrypterede data. Trafikkapring blev håndteret med succes af alle apps – der blev ikke identificeret nogen sårbarheder.

Der blev også indført et nyt kriterium: tilstedeværelsen af analytiske trackere, der indsamler oplysninger om brugeren. De tilføjes af udviklere af gode grunde – for at analysere brugeradfærd og bruge disse oplysninger til at udvikle appen. Gratis trackere fra store virksomheder f.eks. Facebook eller Google indebærer imidlertid yderligere sikkerhedsrisici: Uden brugerens samtykke modtager it-giganterne statistiske data. Derfor blev tilstedeværelsen af sådanne trackere set som et minus i undersøgelsen. Der blev ikke fundet sådanne moduler i iOS-apps, mens Android-apps scorede lavere på dette kriterium med maksimum.

60 % af apps har binding af bankkort via 3-D Secure. Det er en kode, der sendes via sms, så tjenesten kan kontrollere, at kortet virkelig tilhører dig. Teoretisk set kan angribere uden kortet koble en andens kort til deres konto og efterfølgende foretage betalinger fra det stjålne kort eller blot ved at opsamle dets oplysninger.

Derudover testede Roskatchestvo-eksperter alle Android-apps med Solar appScreener-analysatoren for sårbarheder og VOI’er ved hjælp af automatisk binær analyseteknologi uden reverse-engineering dekompilering af kildekoden . Følgende potentielle sårbarheder blev identificeret: DNS-afspørgsler i 50 % af tilfældene, usikker refleksion blev opdaget i 30 % af de undersøgte applikationer, usikker native SSL-implementering – 20 %. Svag hashing-algoritme i 80 % af de analyserede applikationer, brug af usikker HTTP-protokol i 70 % af de analyserede applikationer. SQLite-databaseforespørgselsinjektion – 20 %.

Ud over de 20 kendte applikationer, der indgik i undersøgelsen, testede eksperterne også sikkerheden i 63 mindre populære applikationer: 36 på Android og 27 på iOS, henholdsvis.

På iOS-platformen blev kun brugerens geolokaliseringsdata overført åbent på bestillingstidspunktet. 6 applikationer blev fanget i det, herunder NonStop: taxabestillingstjeneste, Taxi Pobeda, DA TAXI Tyumen og Taxi Variant. På Android-platformen ser situationen værre ud – så eksperter fandt 2 applikationer – “SV-TAXI. Call a Taxi” og “UpTaxi alle byer “, som ud over geolokaliseringsdata videregiver brugernes personlige data til det offentlige område. Telefonnummer i det første tilfælde og legitimationsoplysningerne telefonnummer og adgangskode samt enhedsmodellen i det andet tilfælde. Denne sårbarhed kan ud over at kompromittere data direkte føre til nye angreb fra svindlere mod brugere.

Det blev også konstateret, at tre Android-applikationer overfører ukrypterede geolokaliseringsdata fra brugeren, nemlig “Order GOST Taxi”, “My City” og Taxi Saturn+”. Som i tilfældet med iOS er denne sårbarhed, selv om den ikke er kritisk, uønsket set ud fra et digitalt sikkerhedsperspektiv.

Et andet problem på Android-platformen er overdreven eller skjult app-adgang, som giver apps skjulte funktioner, og i nogle tilfælde kan de endda være skadelige. Således fik 17 ud af 36 Android-apps adgang til at modtage data om telefonens status, mens 8 ud af 36 apps fik adgang til at se kontakter og 6 ud af 36 apps fik adgang til at foretage telefonopkald.

Blandt de applikationer, hvor der blev anmodet om alle de ovennævnte overflødige adgangsrettigheder, kan vi nævne “SV-TAXI. Taxi Call, Taxi Us Along the Way og Faem.Taxi. Sådanne apps anbefales ikke af Roskachestvo at downloade.

Kontrol af, om taxabestillingsapps’ privatlivspolitik er i overensstemmelse med persondataloven № 152-FZ af 27.07.2006 blev gennemført af jurister fra den autonome nonprofitorganisation PravoRobotov. Generelt set klarede alle de undersøgte apps sig godt ud fra et juridisk perspektiv og scorede 4 eller højere. Undtagelsen var Taxovychkof, hvis app ikke havde et link til privatlivspolitikken på undersøgelsestidspunktet. Problemet var ikke blevet rettet på tidspunktet for offentliggørelsen. Ikke desto mindre overfører alle tjenester, undtagen Taxovichkof, data til tilknyttede tredjeparter.

Livs- og sygesikringsdækning for passagerer i passagertaxaer har i en årrække været genstand for stigende opmærksomhed fra både offentlige myndigheder og samfundet som helhed. Som led i undersøgelsen har Roskatchestvo og advokater fra PravoRobotov analyseret oplysninger om forsikringer i de relevante applikationer. Kun tre af dem Citimobile, Yandex.Taxa” og Gett forsikrer automatisk passageren under rejsen, mens passagerforsikringen overlades til en tredjepart. Andre tjenester overfører på den ene eller anden måde ansvaret for nødsituationer til chaufføren og/eller passageren og tvinger dem til at acceptere, at transportøren “ikke leverer transport- eller logistiktjenester” og ikke accepterer krav herunder en sådan formulering i Uber-tjenesten, der ejes af Yandex .

Stanislav Shvagerus, leder af kompetencecentret, International Eurasian Taxi Forum.

“I Den Danske Føderation er det frivilligt at tegne passagerforsikringer, og det er faktisk en konkurrencefordel for aggregatoren på markedet. En sådan forsikring er imidlertid frivillig og indebærer betydelige risici for taxipassagerer. Hvis den obligatoriske forsikring klart bestemmer betalingsrækkefølgen, er størrelsen af forsikringsudbetalingen bestemt af både forsikringslovgivningen og artikel 34 “Charterers ansvar” i den føderale lov af 8. november 2007 “Om transportørens ansvar”. N 259-FZ “Charter of automobile transport and urban above-ground electric transport”, så under en frivillig forsikring af Aggregatoransvaret fastsættes proceduren og udbetalingsbeløbene ved aftale mellem forsikringsselskabet og Aggregatoren. Derfor er de faktiske erstatninger for skader på liv og helbred for passagerer i passagertaxaer ekstremt lave”

Særligt bemærkelsesværdigt er de såkaldte “andet niveau”-aggregatorer, som endnu ikke har tegnet ansvarsforsikring eller organiseret “erstatningsfonde”. Sådanne aggregatorer anfører normalt i deres interne regler, at “de er ikke ansvarlige for den offentlige kontrakt om passagertaxaer, som de indgår, og at alt ansvar over for passageren påhviler føreren af passagertaxaen”. Disse aggregatorer glemmer, at i henhold til artikel 37 “ugyldighed af aftaler” i den føderale lov af 8. november 2007. N 259-FZ “Statut for biltransport og jordbaseret elektrisk transport i byer”, er sådanne dokumenter ugyldige.

Retspraksis vedrørende erstatning for taxipassagerers liv og helbred er omfattende og består i en massiv anerkendelse af taxaaggregatorers ansvar for skader, der er forvoldt passagerer i passagertaxaer i henhold til en kontrakt om befragtning af en taxa. Kontroller, om din foretrukne taxitjeneste opfylder sikkerhedskravene og overholder lovens bogstav?

Undersøgelsen blev udført i overensstemmelse med testmetoden baseret på den foreløbige nationale standard for sammenlignende testning af mobilapplikationer PNST 277-2023.