...

Roskachestvo har undersøgt apps, der giver dig mulighed for at leje cykler og scootere.

Otte apps til cykeludlejning og 27 kickshare-apps blev undersøgt på begge mobile platforme: Bike&Go, BikeMe, Bumerang Lifcar , BusyFly, e-GoGoGo, Eleven, e-motion, Flyfer, GoBike Almetyevsk, GreenBee, lite, LuckyBike, Matur.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamokat, VeloBike, VeloBike MultiCity, Green City, Carousel, CityMobile.

image_25

Hvor mange cykler og scootere er til leje i Danmark?

Markedet for scooterudlejning i Danmark er i fremgang. Ved årets udgang forventes den at stige med 300 %: 10 mia. danske kroner. Mens der i begyndelsen af 2023 ikke var mere end 10.000 scootere i Danmark, er der i april i år allerede omkring 85.000 for alle kickshare-operatører, og det er ikke grænsen. Store virksomheder som Yandex, mail, MTS og Sberbank har udtrykt intentioner om at investere i mikro-mobile transporttjenester. Langt størstedelen af transporten – omkring 60 tusind scootere – tegner sig for Urent- og Whoosh-tjenester.

Markedet for cykeludlejning udvikler sig langsommere: i efteråret 2023 var der 662 cykeludlejningssteder i Moskva med 6,5 tusind cykler. Til foråret vil de få selskab af 67 nye udlejningsstationer og 1.000 nye cykler, hvoraf halvdelen er elektriske. Dette er allerede sammenligneligt med byer som London 18.000 eller New York 8.000 . Dette års cykeludlejningssæson startede en måned tidligere end normalt, i begyndelsen af april. Moskvas transportministerium forklarede dette med det faktum, at i et pandemisk år er cykeludlejningstjenesten via appen blevet meget populær blandt offentligheden mere end 8 millioner ture .

Mens færdselspolitiet registrerer en stigning i antallet af ulykker med mikro-mobilitetsfartøjer, overvejer regeringen at sidestille scootere med køretøjer for at begrænse hastighederne og dermed reducere antallet af ulykker. Men flere og flere brugere af udlejningsapps. Roskatchestvo vurderede informationssikkerheden i disse apps og advarede om risiciene.

image_18

De fleste cykeludlejnings- og kickshare-tjenester følger samme ukomplicerede skema:

– Du skal downloade mobilappen og gennemgå registreringsprocessen.

– Vælg en betalingsmetode og billetpris, hvis tjenesten har en sådan.

– Find den nærmeste base eller scooter på kortet.

– Gå hen til køretøjet, og aktiver det ved at følge instruktionerne i appen.

I forbindelse med kontrollen af informationssikkerheden i kickshare- og scootertjenester analyserede Roskatchestvo sammen med advokater fra PravoRobot også deres privatlivspolitikker. I alt 68 apps 34 til iOS og Android blev undersøgt. I undersøgelsen blev der kigget på apps, der tilbyder mikromobiludlejningstjenester på testtidspunktet, og der blev kigget på både dem, der opererer i hovedstaden og regionale tjenester.

Appenes sikkerhed blev vurderet ud fra otte kriterier:

● Minimumskrav til anmodningen om brugerdata

● Anmodning om de nødvendige godkendelser

● Sikkerhed for dataoverførsel i appen

Sikker overførsel af brugerdata

● Samtykke til behandling og opbevaring af data

● Link til fortrolighedspolitik

● Kodeordets kompleksitet

● Sletning af en konto

Android-apps er også blevet testet for potentielle sårbarheder ved hjælp af Solar appScreener-sårbarhedsanalysatoren. En stor del af apps har en lignende arkitektur, hvor kun design og indhold ændres.

Kompleksitet af kodeord

På nær to af de undersøgte cykeludlejningstjenester har alle adgang til appen via engangs-sms-koder, hvilket øger sikkerheden og eliminerer risikoen for, at andre personer lejer en cykel eller scooter under en tredjepartskonto. Kun VeloBike – København City Cycle Rental og VeloBike MultiCity udviste et lavere sikkerhedsniveau. Disse apps sender et engangslogin og en pinkode, som ikke ændres over tid. Efter at have fået et brugernavn og en adgangskode kan en ondsindet person potentielt bruge tjenesten til sine egne formål, f.eks. til at rejse med en andens tilknyttede kort eller endda til at stjæle et køretøj, hvorefter tjenesten vil udspørge kontohaveren: han skal bevise, at han ikke har gjort noget forkert. Hvis cyklen f.eks. ikke er returneret efter 48 timers leje,

“Bike&Go” skriver en bøde på 30 tusind danske kroner til ejeren af kontoen. Andre apps til cykeludlejning har lignende sanktioner.

image_19

Kun at anmode om det minimum af nødvendige brugerdata

Når vi logger ind på en online cykeludlejningstjeneste, har vi som regel en tendens til at indtaste et absolut minimum af vores personlige data, men i tilfælde af en udlejningstjeneste anmodes der om udvidede data af 21 % af alle apps. Navnlig Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamocat, Bike&Go kræver et for- og efternavn. E-motion var den eneste app, der bad om et pas- eller kørekortfoto ved registreringen dette trin kan dog springes over under registreringen uden synlige konsekvenser .

Kun de nødvendige tilladelser er påkrævet

En applikations informationssikkerhed bestemmes i høj grad af dens adgang. Der kræves kun to ting for at en mikromobiludlejningsapp kan fungere fuldt ud: en forespørgsel om placering og adgang til kameraet for at scanne en QR-kode . Alle andre adgangsveje i undersøgelsen blev betragtet som overflødige. BusyFly havde det højeste antal redundante adganger: foretage telefonopkald, deaktivere dvaletilstand og starte op, når enheden er tændt. BikeMe søger efter konti på enheden, og ScooBee anmoder om tilladelse til at blive vist øverst i alle vinduer – dette er en af de potentielt farligste adganger. 85 % af de apps, der er analyseret på Android-platformen, anmoder ikke om overdreven adgang, og på iOS er dette tal endnu højere på grund af styresystemets karakter.

Sletning af konto

Ingen af de apps, som eksperterne har undersøgt, bortset fra Whoosh, giver dig mulighed for at slette din konto ved hjælp af den funktion, der er implementeret i programmet. Dette kan dog gøres ved at kontakte service support. Udviklere af Eleven-tjenesten har lovet Roskachevo at tilføje muligheden for at slette kontoen i de næste opdateringer.

image_26

Sikkerhed ved dataoverførsel

Roskatchestvo analyserede de data, der blev overført af apps, og opsnappede trafikken ved hjælp af specialiseret software. I tre applikationer er systemdataene til geolokalisering offentligt tilgængelige: “lite – ride here, ride now”, “Green City” og “Matur.by”. Du kan spore din nuværende placering på denne måde, hvis du vil, men oftest sender en person sine geolokaliseringsdata, når han/hun lejer en scooter eller cykel og er ude i det fri. Dette minimerer risikoen for, at en ubuden gæst kan indlejre sig i kanalen og manipulere de data, der overføres. Endnu vigtigere er det, at alle applikationer har demonstreret sikker overførsel af brugerdata. Det betyder, at personlige oplysninger og betalingsdata er sikre, når du bruger de apps, som Roskachevo har undersøgt.

Samtykke til behandling og opbevaring af data

Brugerens samtykke til at dele og behandle sine data er det vigtigste princip i forbindelse med levering af moderne onlinetjenester. Alle 100 % af de undersøgte apps kræver en eller anden form for samtykke, men kun 24 % beder aktivt om samtykke.

Sårbarheder i apps til udlejning af scootere og cykler på nettet

Eksperterne vurderede også potentielle sårbarheder og udokumenterede funktioner i appsene ved hjælp af specialiseret software “Solar appScreener”. Den mest betydningsfulde og udbredte potentielle sårbarhed er brugen af usikker HTTP-protokol 90 % af Android-applikationerne , hvilket svarer til usikre native SSL-implementeringer 34 % . SQLite-databaseforespørgsel blev opdaget i 22 % af tilfældene, DNS-forespørgsel blev opdaget i 82 % af programmerne. Krypteringsalgoritmen er implementeret godt i de fleste applikationer, og kun 12 % af de analyserede applikationer viste potentielle sårbarheder.

Daniel Chernov, direktør for Solar appScreener-centret hos Rostelecom Solar.

“Apps til udlejning af cykler og scootere med lav sikkerhed kan bringe en stor mængde følsomme brugerdata i fare. Det kan være navn, telefonnummer, e-mail, geografisk placering, bankkortnummer m.m. Det er udviklerne, der har ansvaret for at beskytte disse oplysninger. De undersøgte populære tjenester i Danmark viste et højt sikkerhedsniveau. Man må dog ikke glemme, at hver ny version af en applikation kræver en gennemgang af kodens kvalitet og sikkerhed

image_21

Juridisk vurdering

Privatlivspolitikkerne for alle apps fik rimelig høje vurderinger. Ulempen er, at det ikke er alle applikationer, der i dokumentet angiver oplysninger om lagring af data på Den Danske Føderations område – det mangler i 9 % af applikationerne, hvoraf man kan nævne MOLNIA, VEZU og Red Wheels. Udvikleren er også forpligtet til at medtage alle tredjepartsidentifikatorer i politikken, herunder deres INN- eller OGRN-navn, men sådanne data mangler i 53 % af tilfældene. Bike&Go og GoBike tilbyder grænseoverskridende overførsel af personoplysninger. Hos GreenBee, Green City og Seagull er ejeren af alle personlige oplysninger, der opnås som led i brugen af tjenesten, IP. En Velobike forbyder officielt brugen af en lejecykel som et ejendomsbidrag til erhvervspartnerskaber og virksomheder.

Nikita Kulikov, administrerende direktør for PravoRobotov

“Brugere af enhver tjeneste bør være opmærksomme på, at alle deres handlinger med apps, selv noget så ubetydeligt som at låse en cykel eller scooter op, har et digitalt fodaftryk og visse konsekvenser. Næsten alle apps deler altså dine data med tredjeparter, om end anonymt. Under alle omstændigheder bør brugeren overholde de generelle sikkerhedsprincipper: holde øje med den adgang, som appen kræver, og kun give det minimum af nødvendige oplysninger om sig selv. Send ikke scanninger af dokumenter, og link ikke betalingsoplysninger til mistænkelige apps, som brugeren er usikker på.”.

Anton Kukanov, leder af Roskatchestvo’s Digital Expertise Centre, deler undersøgelsens konklusioner:

“De undersøgte apps til udlejning af cykler og scootere er for størstedelens vedkommende implementeret efter en høj standard og er lige så sikre som de andre. Ingen af de observationer, der kan drages af deres analyse, påvirker den direkte brugeroplevelse. Det eneste, der er værd at være opmærksom på, er et login og en pinkode, der ikke ændres over tid og teoretisk set kan bruges til uautoriseret adgang.”.

image_23

Konklusioner og anbefalinger

De undersøgte apps til udlejning af cykler og scootere er for det meste implementeret efter en høj standard. Stort set ingen af de observationer, der kan gøres ud fra deres analyse, påvirker den direkte brugeroplevelse. Det eneste ikke-kritiske punkt, der er værd at bemærke i betragtning af tjenestens omfang , er login- og PIN-koden, som ikke ændres over tid og teoretisk set kunne bruges til uautoriseret adgang i Moskvas bycykeludlejning og dens variant Multicity . Alle apps blev fundet lige sikre, og der blev ikke identificeret nogen usikre apps.

Generelt er der kun en lille risiko ved at bruge apps til leje af cykler og scootere. Roskachevo anbefaler ansøgninger fra de største aktører på dette marked til brug. Vær dog forsigtig, når du downloader apps fra mindre kendte tjenester, og vær under alle omstændigheder altid opmærksom på den adgang, de kræver, når du installerer dem. Når du vælger en tjeneste, skal du huske, at de har deres egen dækning og parkeringspladser, hvilket er vigtigt, når du planlægger en rute.

Bedøm denne artikel
( Ingen vurderinger endnu )
Martin Kasper

Fra en tidlig alder følte jeg en dragning mod æstetik og design. Mine tidligste erindringer involverede leg med farver og former, og det var klart, at min passion for at skabe smukke rum ville forme mit liv. Opvokset i [Bynavn], blev min nysgerrighed for arkitektur og indretning næret af byens mangfoldige miljø.

Hvidevarer. Tv-apparater. Computere. Fotoudstyr. Anmeldelser og test. Sådan vælger og køber du.
Comments: 1
  1. Johansen Rasmussen

    Jeg er interesseret i at vide, hvilke apps Roskachestvo har undersøgt, og hvilke konklusioner de har nået frem til vedrørende leje af cykler og scootere. Er der bestemte apps, som de anbefaler, og er der nogen, de advarer imod? Jeg ønsker at få det bedst mulige valg, når jeg lejer en cykel eller scooter via en app, så jeg vil være taknemmelig for enhver information, der kan hjælpe mig i min beslutningsproces.

    Svar
Tilføj kommentarer