Roskachestvo avslöjar osäkra appar för taxireklamation

Roskatchestvo’s Center of Digital Expertise genomförde en undersökning av de 20 mest populära mobilapplikationerna för att beställa en taxi. Eftersom taxitjänsterna samlar in och lagrar våra personuppgifter och betalningsuppgifter måste de fungera felfritt när det gäller säkerheten. Dessutom analyserades säkerheten hos mer än 60 okända appar. Tyvärr visade sig inte alla vara säkra.

Taximarknaden har vuxit och förändrats snabbt sedan 2023. 2023 förvärvades flera tjänster, däribland Veset och Rutaxi, som tidigare analyserats av Roskachevo, av Yandex, vilket ökar dess totala andel och gör Yandex till den absoluta ledaren när det gäller närvaro 40 % totalt, 67 % bland aggregatorer, från och med september 2023 enligt Forbes .

För att ta reda på hur funktionella, kvalitativa och säkra taxiappar är testade Roskachestvo 20 appar: 10 vardera för iOS och Android. Advokater på PravoRobotov har kontrollerat sekretesspolicyn för sina tjänster för att se till att de följer den federala lagen ”om personuppgifter” nr 152-FZ av den 27….07.2006 och lyfte fram negativa och positiva aspekter som användarna bör ta hänsyn till.

Sergey Bodrov, chef för Roskatchestvos centrum för digital expertis.

”Under studien använde experterna apparna som vanliga användare: de beställde taxibilar och körde runt i staden, analyserade appen och dess funktionalitet, lade till adresser till favoriter och begärde beställningar, studerade förarprofiler information om förare, bilar, transportföretag och praktiserade andra typiska användningsscenarier. Dessutom testades programmens säkerhet med hjälp av specialiserad programvara. Alla nyckelfunktioner testades, och bekvämligheten, informationssäkerheten samt prestandan och tillförlitligheten hos taxibeställningsapplikationerna utvärderades”

Enligt undersökningsresultaten är den ledande appen Yandex Go densamma, Taxoviccof har tappat mark och Citimobile har förbättrat sin position och ligger nu på tredje plats på båda plattformarna iOS och Android .

Enligt testresultaten är de mest funktionella apparna Yandex Go, Taxovicof på båda plattformarna och Uber på Android samt Citimobile på iOS. De mest användarvänliga apparna i undersökningen är Yandex Go, Taxovitchkof och maxim för Android samt Taxovitchkof och maxim för iOS. När det gäller säkerhet presterade alla populära appar bra och de flesta fick 3,5 eller högre poäng. Flera Android-appar har nedgraderats för att de har ”spårare” av användardata.

Alla deltagare i undersökningen har de flesta av funktionerna implementerade på en hög nivå. Gett och DiDi gör det dock inte möjligt att ringa en taxi utan att ange adressen i förväg, och alla appar visar inte avståndet till bilen för användaren: funktionen saknas i Pohodeli, Taxovychkof och maxim. Android-versionen av DiDi visar inte byggnader på kartan. Endast på Taxoviccof, Yandex.Go, Citymobile och Uber kan välja en ny adress för en resa igen.

Nästa viktiga punkt för användaren, när valet av maskin har gjorts och fordonet har tilldelats, är profilen för föraren och fordonet. Specialister utvärderade om förarkortet innehöll förarens fullständiga namn, foto och betyg, information om själva fordonet, information om transportföretaget, uppgifter om datum för förarens registrering i taxitjänsten.

Liksom i den senaste studien finns det fortfarande stora variationer mellan olika appar när det gäller hur väl förarprofilerna fylls i. Det kan handla om allt från att förarprofilen praktiskt taget saknas i Let’s Go, Omega och TapTaxi till att den är fullt informativ i Yandex Go, DiDi och Gett.

Nästa viktiga grupp av kriterier för användaren. Om användaren har ett litet barn, tungt bagage eller ett husdjur är det mycket viktigt att det finns lämpliga filter. Enligt studien är bristen på sådana filter fortfarande ett problem för vissa tillämpningar. DiDi, Gett, TapTaxi och Uber har minst möjligheter till reseförfrågningar.

Dessutom bedömdes förekomsten av SOS-knappen: den finns i Omega, Pogache, Yandex Go och maxim, liksom i DiDi och Citimobile. Med den här funktionen kan du ringa 112 med en enda beröring eller dela dina lokaliseringsuppgifter med betrodda kontakter. Denna funktion kan vara en avgörande faktor för vissa personer när de väljer tjänst.

Jämfört med föregående undersökning har möjligheten att svartlista en viss förare i appen blivit betydligt mer populär de flesta gör det genom en supportförfrågan, men det finns också de som ger möjlighet att blockera föraren direkt . Visningen av användarens betyg liknande förarens betyg bedömdes inte, endast Yandex Go har det öppet för passageraren. Citimobile har en lika meningsfull användarkontonivå.

Under en säkerhetsstudie av apparna bedömde experterna om tjänsten endast begär ett minimum av nödvändiga användardata och behörigheter och om användaren kan radera kontot. Säkerheten för överföring av program- och användardata analyserades separat. För att göra detta fångade experterna all trafik som skickades av appen med hjälp av specialiserad programvara Wireshark och analyserade den sedan för att hitta okrypterad data. Trafikkapning hanterades framgångsrikt av alla appar – inga sårbarheter identifierades.

Ett nytt kriterium har också införts: tillgången till analytiska spårare som samlar in information om användaren. De läggs till av utvecklare i goda syften – för att analysera användarnas beteende och använda denna information för att utveckla appen. Gratis trackers från stora företag t.ex. Facebook eller Google medför dock ytterligare risker när det gäller informationssäkerheten: utan att användaren behöver det får IT-jättarna statistiska uppgifter. Därför ansågs förekomsten av sådana spårare vara en nackdel i studien. Inga sådana moduler hittades i iOS-appar, medan Android-appar fick lägre poäng på detta kriterium.

I 60 % av apparna är bankkortsbindningen implementerad via 3-D Secure. Denna kod, som skickas i ett textmeddelande, behövs för att tjänsten ska kunna kontrollera att kortet verkligen tillhör dig. I teorin skulle avsaknaden av kortet kunna göra det möjligt för angripare att koppla någon annans kort till sitt konto och därefter göra betalningar från det stulna kortet eller helt enkelt genom att hämta dess uppgifter.

Dessutom testade Roskachestvo-experter alla Android-appar med Solar appScreener, med hjälp av automatisk binär analys-teknik, utan reverse-engineering dekompilering av källkoden . Följande potentiella sårbarheter identifierades: åtkomst till DNS i 50 % av fallen, osäker reflektion upptäcktes i 30 % av de studerade apparna, osäker inhemsk SSL-implementering – 20 %. En svag hash-algoritm i 80 % av de analyserade programmen och osäker HTTP i 70 %. Injektion av SQLite-databasfrågor – 20 %.

Förutom de 20 kända apparna i studien testade specialisterna även säkerheten hos 63 andra mindre populära appar: 36 på Android respektive 27 på iOS.

På iOS-plattformen överfördes endast användarnas geografiska lokaliseringsuppgifter med fri tillgång vid beställningen. 6 applikationer fångades i detta, däribland NonStop: taxibeställningstjänst, Taxi Pobeda, DA TAXI Tyumen och Taxi Variant. På Android ser situationen värre ut – experter har identifierat 2 applikationer – SV-TAXI. Call Taxi” och ”UpTaxi alla städer ”, som förutom de ovan nämnda geolokaliseringsuppgifterna även överförde användarens personuppgifter till den offentliga sfären. Telefonnummer i det ena fallet och autentiseringsuppgifter telefonnummer och lösenord respektive enhetsmodell i det andra fallet. Förutom att data direkt äventyras kan denna sårbarhet leda till ytterligare attacker från bedragare.

Dessutom upptäcktes tre Android-appar som överförde okrypterade geolokaliseringsuppgifter till användaren, nämligen ”Taxi Order GOST”, ”My City” och ”Taxi Saturn+”. Precis som i fallet med iOS är denna sårbarhet, även om den inte är kritisk, fortfarande oönskad ur ett digitalt säkerhetsperspektiv.

Ett annat problem på Android-plattformen är överflödig eller dold appåtkomst, vilket ger appar dolda funktioner och i vissa fall kan de till och med vara skadliga. Således får 17 av 36 Android-appar tillgång till uppgifter om telefonens status, 8 av 36 appar får tillgång till kontakter och 6 av 36 appar får tillgång till att ringa telefonsamtal.

Bland de tillämpningar som begär alla de förtecknade överflödiga åtkomsterna finns ”SV-TAXI. Ring en taxi”, ”Taxi Nam Puti” och Faem.Taxi. Roskachestvo rekommenderar inte att du laddar ner dessa program.

Granskning av sekretesspolicyn för taxibeställningsapplikationer för att se till att den överensstämmer med personuppgiftslagen nr 152-FZ av den 27 juli 2010 .07.2006 genomfördes av jurister från den autonoma ideella organisationen ”PravoRobotov”. På det hela taget klarade sig alla de undersökta apparna bra ur juridisk synvinkel och fick 4 poäng och mer. Ett undantag var Taxovychkof, vars app inte hade någon länk till sin integritetspolicy vid tidpunkten för undersökningen. Problemet var inte löst vid tidpunkten för offentliggörandet. Alla tjänster, utom Taxoviccof, överför dock uppgifter till anslutna tredje parter.

Frågor om liv- och sjukförsäkringsskydd för passagerare i passagerartaxi har under ett antal år varit ett ständigt fokus för både offentliga myndigheter och samhället i stort. Som en del av undersökningen analyserade Roskatchestvo och jurister från PravoRobotov information om försäkringar i relevanta bilagor. Endast tre av dem Citimobile, Yandex.Taxi” och Gett försäkrar tjänsten automatiskt passageraren under resan, medan passagerarförsäkringen hos de senare läggs ut på en tredje part. Andra tjänster som på ett eller annat sätt lägger ansvaret för nödsituationer på föraren och/eller passageraren och tvingar dem att gå med på att transportören ”inte tillhandahåller transport- eller logistiktjänster” och att inte acceptera krav inklusive sådan formulering och tjänsten Uber, som ägs av Yandex .

Stanislav Shvagerus, chef för kompetenscentret vid International Eurasian Taxi Forum.

”I Svenska federationen är det frivilligt att teckna passagerarförsäkringar och det är faktiskt en konkurrensfördel för aggregatorn på marknaden. Den frivilliga karaktären hos sådana försäkringar medför dock betydande risker för taxiresenärer. I den obligatoriska försäkringen fastställs tydligt hur utbetalningen ska ske, medan försäkringsbeloppet fastställs både i försäkringslagstiftningen och i artikel 34 ”Charterarens ansvar” i den federala lagen av den 8 november 2007 ”Om charterarens ansvar”, och försäkringsbeloppet definieras i artikel 34 i den federala lagen av den 8 november 2007 ”Om charterarens ansvar”. N 259-FZ ”Statut för motorfordon och elektriska landbaserade stadstransporter”, detta förfarande och utbetalningsbeloppen fastställs genom ett avtal mellan försäkringsgivaren och aggregatorn vid frivillig försäkring av aggregatorns ansvar. Därför är de verkliga ersättningarna för skador på liv och hälsa för taxipassagerare extremt små

Ett specialfall är de så kallade ”andra skiktet”-aggregatorerna, som ännu inte har försäkrat sitt ansvar eller organiserat ”betalningsfonder”. Sådana aggregatorer anger vanligen i sina interna bestämmelser att de inte är ansvariga för de offentliga taxikontrakt som de ingår och att allt ansvar gentemot passagerarna ligger hos taxiföraren. Sådana aggregatorer förbiser det faktum att försäkringsavtalet mellan försäkringsgivaren och aggregatorn måste sägas upp enligt paragraf 37 i den federala lagen av den 8 november 2007 om avtals ogiltighet. N 259-fz ”Stadga för biltransport och markbaserad elektrisk stadstransport”, sådana dokument är ogiltiga.

Rättspraxis när det gäller ersättning för skador på liv och hälsa för taxipassagerare är omfattande och består i att taxibolag i stor utsträckning godtar ansvar för skador som orsakats passagerare i passagerartaxi enligt ett avtal om transport av passagerartaxi. Kontrollera om din favorittaxitjänst följer säkerhetsbestämmelserna och lagen?

Studien genomfördes i enlighet med testmetodiken enligt den preliminära nationella standarden för jämförande testning av mobilappar PNST 277-2023.