В Роскачестве назвали небезопасные приложения для вызова такси

Они не гарантируют, что служба несёт ответственность за жизнь и здоровье пассажиров.

В центре цифровой экспертизы Роскачества провели исследование 20 наиболее популярных мобильных приложений по заказу такси. Учитывая то, что сервисы такси собирают и хранят персональные и платёжные данные, они должны показывать безупречные результаты по критерию безопасности.

Также дополнительно была проанализирована информационная безопасность более 60 малоизвестных приложений. Увы, не все из них оказались безопасными.

С 2016 года рынок такси непрерывно растёт и быстро изменяется, в 2021 году сразу несколько сервисов, включая ранее проанализированные Роскачеством «Везёт» (12+) и «Рутакси» (12+), были приобретены «Яндексом» (12+), что увеличило его общую долю и сделало абсолютным лидером по присутствию (40% в целом, 67% среди агрегаторов, по данным Forbes на сентябрь 2021 года).

Чтобы выяснить, насколько приложения для заказа такси функциональны, качественны и безопасны, Роскачество протестировало 20 приложений: по 10 для iOS и Android. А юристы изучили политики конфиденциальности сервисов на соответствие федеральному закону «О персональных данных» (№ 152-ФЗ от 27.07.2006) и выделили негативные и положительные аспекты, на которые пользователям стоит обратить внимание.

– Во время исследования специалисты использовали приложения как рядовые пользователи: заказывали такси и передвигались по городу, анализировали работу приложения и его функциональные возможности, добавляли адреса в избранное и пожелания к заказам, изучали профили водителей (информацию о водителях, машинах, компании-перевозчике) и отрабатывали другие типовые сценарии использования. Дополнительно проводился тест приложений на безопасность с использованием специализированного ПО. В результате были проверены все ключевые функции, оценены удобство, информационная безопасность, а также производительность и надёжность приложений заказа такси, – пояснил Сергей Бодров, руководитель Центра цифровой экспертизы Роскачества.

По результатам исследования приложение-лидер осталось прежним («Яндекс Go») (12+), «Таксовичкоф» (12+) уступил maxim (12+), «Ситимобил» (12+) улучшил свои позиции и теперь занимает третье место на обеих платформах (iOS и Android).

По результатам тестирования наиболее функциональные приложения – «Яндекс Go», «Таксовичкоф» на обеих платформах и Uber (12+) на Android, а также «Ситимобил» (12+) на iOS. Наиболее удобные приложения по итогам исследования – «Яндекс Go», «Таксовичкоф» и maxim на Android, а также «Таксовичкоф» и maxim на iOS. Что касается информационной безопасности, все популярные приложения показали хорошие результаты – большинство набрало 3,5 и более баллов. Оценки у некоторых приложений на Android были снижены за наличие «трекеров» пользовательских данных.

У всех участников исследования большинство функций реализовано на высоком уровне. Однако Gett (12+) и DiDi (12+) не позволяют вызвать такси без предварительного указания адреса, не у всех приложений отображается расстояние, которое осталось от автомобиля до пользователя: функция отсутствует у «Поехали» (12+), «Таксовичкоф» и maxim. В версии DiDi для Android на карте не отображаются здания. Только у «Таксовичкоф», «Яндекс.Go», «Ситимобил» (12+) и Uber можно снова выбрать недавний адрес поездки.

Следующий важный для пользователя момент, когда выбор машины уже сделан, и автомобиль назначен, это профиль водителя и автомобиля. Специалисты оценивали наличие в карточке водителя ФИО водителя, его фотографии и рейтинга, информации о самом автомобиле, сведений о компании-перевозчике, данных о дате регистрации водителя в сервисе такси.

Как и в прошлом исследовании, между приложениями всё ещё наблюдается значительный разброс в степени наполненности профиля водителя, от фактического его отсутствия у «Поехали» (12+), «Омега» (12+) и TapTaxi (12+), до полной информативной карточки с фото у «Яндекс Go» (12+), DiDi и Gett.

Следующая важная для пользователя группа критериев – это пожелания к поездке. В том случае, если у пользователя маленький ребёнок, тяжёлый багаж или животное, наличие соответствующих фильтров является очень важным. Как показало исследование, проблема отсутствия таких фильтров у некоторых приложений по-прежнему актуальна. Меньше всего возможностей по пожеланиям к поездке у DiDi, Gett, TapTaxi и Uber.

Дополнительно оценивалось наличие SOS-кнопки: она есть у «Омега», «Поехали», «Яндекс Go» и maxim, а также DiDi и «Ситимобил». Эта функция позволяет одним нажатием набрать номер 112, либо передать данные о своем местоположении доверенным контактам. Эта функция для кого-то может стать решающей при выборе сервиса.

По сравнению с прошлым исследованием заметно более популярной стала возможность добавить конкретного водителя в приложении в чёрный список (у большинства это реализовано через запрос в службу поддержки, но есть и те, кто дает возможность напрямую заблокировать водителя). Без оценки рассматривалась демонстрация пользовательского рейтинга (аналогичного водительскому), в открытом для пассажира виде он есть только у «Яндекс Go». У «Ситимобила» есть аналогичный по смыслу уровень аккаунта пользователя.

В процессе исследования приложений на безопасность, эксперты оценивали, запрашивает ли сервис только минимально необходимые пользовательские данные и разрешения, а также может ли пользователь удалить аккаунт. Отдельно анализировалась безопасность передачи данных приложения и пользовательских данных. Для этого эксперты производили захват всего трафика, который пересылает приложение, с помощью специализированного ПО (Wireshark), а затем анализировали его на наличие незашифрованных данных. С перехватом трафика успешно справились все приложения – уязвимости выявлены не были.

Также был введён новый критерий: наличие аналитических трекеров, собирающих информацию о пользователе. Они добавляются разработчиками в благих целях – для анализа поведения пользователей и использовании этих сведений для развития приложения. Однако бесплатные трекеры крупных корпораций (например, Google) несут дополнительные риски с точки зрения информационной безопасности: без надобности со стороны пользователя IT-гиганты получают статистические данные. По этой причине наличие таких трекеров рассматривалось в ходе исследования как минус. В приложениях на iOS такие модули обнаружены не были, на Android по этому критерию были снижены баллы у maxim.

У 60% приложений привязка банковской карты осуществляется по протоколу 3-D Secure. Это код, отправляемый в СМС, нужен для того, чтобы сервис убедился, что карта действительно принадлежит вам. Теоретически его отсутствие может позволить злоумышленникам привязать чужую карту к своему аккаунту и в дальнейшем совершать оплату поездки с украденной карты или просто подобрав её реквизиты.

Дополнительно эксперты Роскачества провели проверку всех приложений на Android анализатором на наличие уязвимостей и НДВ «Solar appScreener» при использовании технологии автоматического бинарного анализа, без осуществления реверс-инжиниринга (декомпиляции исходного кода). Были выявлены следующие потенциальные уязвимости: обращение к DNS в 50% случаев, небезопасная рефлексия выявлена у 30% исследованных приложений, небезопасная собственная реализация SSL – 20%. Слабый алгоритм хеширования у 80% исследованных приложений, использование незащищенного протокола HTTP – 70%. Внедрение в запрос к базе данных SQLite – 20%.

Дополнительно к вошедшим в исследования 20 известным приложениям специалисты также проверили на безопасность ещё 63 малопопулярных приложений: 36 на платформе Android и 27 на iOS соответственно.

На платформе iOS в открытом виде передавались исключительно данные геолокации пользователя в момент заказа, всего на этом попались шесть приложений, среди них – «НонСтоп: сервис заказа такси»; «Такси Победа»; «DA ТАКСИ Тюмень» и «Такси Вариант». На платформе Android ситуация выглядит хуже – так, специалисты выявили два приложения – «SV-TAXI. Вызов такси» и «UpTaxi (все города)», которые, кроме вышеупомянутых данных геолокации, передавали в открытом доступе и персональные данные пользователя. Номер телефона в одном случае и учётные данные (номер телефона и пароль), а также модель устройства во втором случае соответственно. Данная уязвимость, помимо прямой компрометации данных, может повлечь за собой новые атаки от мошенников в сторону пользователей.

Также были выявлены три приложения на Android, которые передавали в незашифрованном виде данные геолокации пользователя, а именно – «Заказ такси ГОСТ», «Мой Город» и Такси Сатурн+». Как и в случае с iOS, данная уязвимость хоть и не является критичной, все же нежелательна с точки зрения обеспечения цифровой безопасности.

Отдельной проблемой на платформе Android являются избыточные или скрытые доступы приложений, которые наделяют приложения скрытыми функциями, а в некоторых случаях они могут быть даже зловредными. Так, доступ к получению данных о статусе телефона получают 17 из 36 приложений на Android, просмотр контактов у восьми из 36, а доступ к осуществлению телефонных вызовов получают шесть из 36 приложений.

Среди приложений, где запрашивались все перечисленные избыточные доступы можно отметить «SV-TAXI. Вызов такси» (12+), «Такси Нам По Пути» (12+) и Faem.Taxi (12+). Такие приложения Роскачество не рекомендует скачивать.

Проверку на соответствие политик конфиденциальности приложений заказа такси требованиям закона «О персональных данных» (№ 152-ФЗ от 27.07.2006) проводили юристы. В целом все исследованные приложения показали хорошие результаты с точки зрения права, набрав четыре балла и выше. Исключение составил «Таксовичкоф», в приложении которого на момент проведения исследования ссылка на политику конфиденциальности была нерабочей. На момент публикации исследования проблема исправлена не была. Тем не менее все сервисы, кроме «Таксовичкоф», передают данные аффилированным третьим лицам.

Вопросы страховой защиты жизни и здоровья пассажиров легкового такси постоянно находятся в зоне повышенного внимания как органов государственной власти, так и всего общества, уже на протяжении нескольких лет. В рамках исследования Роскачество и юристы проанализировали информацию о страховании в соответствующих приложениях. Только в трех из них («Ситимобил», «Яндекс.Такси» и Gett) сервис автоматически страхует пассажира во время пассажира поездки, у maxim страхование пассажиров отдается на откуп третьей стороне. Остальные сервисы так или иначе перекладывают ответственность за чрезвычайные ситуации на плечи водителя и/или пассажира и вынуждают согласиться с тем, что фактически перевозчик «не обеспечивает осуществление перевозок или логистических услуг» и не принимает претензии (в том числе такая формулировка и у сервиса Uber, принадлежащего «Яндексу»).

– В Российской Федерации практика страхования пассажиров носит добровольный характер и фактически является конкурентным преимуществом агрегатора на рынке. Однако добровольность такого страхования несёт в себе существенные риски для пассажиров такси. Если обязательное страхование чётко определяет порядок выплат, размер страховой выплаты, определяемый как страховым законодательством, так и статьей 34 «ответственность фрахтовщика», федерального закона от 8 ноября 2007 года №259-ФЗ «Устав автомобильного транспорта и городского наземного электрического транспорта», то при добровольном страховании ответственности агрегаторов этот порядок и суммы выплат определяются соглашением между страховщиком и агрегатором. Отсюда и крайне малые суммы реального возмещения ущерба жизни и здоровью пассажиров легкового такси, – пояснил руководитель центра компетенций международного евразийского форума такси Станислав Швагерус.

Особняком стоят агрегаторы так называемого «второго эшелона», которые до сих пор не застраховали свою ответственность или не организовали «фонды выплат». Такие агрегаторы, как правило, указывают в своих внутренних правилах что «они не несут ответственности за заключаемый ими публичный договор фрахтования легкового такси, и что всю ответственность перед пассажиром несёт водитель легкового такси». Данные агрегаторы упускают из вида, что, согласно статье 37 «недействительность соглашений» федерального закона от 8 ноября 2007 г. №259-ФЗ «Устав автомобильного транспорта и городского наземного электрического транспорта», такие документы являются недействительными.

Судебная практика по возмещению вреда жизни и здоровью пассажиров легкового такси обширна и заключается в массовом признании ответственности агрегаторов такси за вред, причиненный пассажирам легкового такси по договору фрахтования легкового такси.

iOS - АйОС
Android - Андроид
Forbes - Форбс
Яндекс Go - Яндекс Гоу
maxim - Максим
Uber - Убер
Gett - Гетт
DiDi - ДиДи
TapTaxi - ТапТакси
HTTP - АШТИТИПИ
Wireshark - ВайрШарк
Google - Гугл
Faem.Taxi - Фаем Такси
SV-TAXI - СВ Такси
Solar appScreener - Солар аппСкринер