Totalt åtta appar för cykeluthyrning och 27 delade appar testades på båda mobilplattformarna: Bike&Go, BikeMe, Bumerang Lifcar , BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Almetyevsk, GreenBee, lite, LuckyBike, Matur.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamokat, VeloBike, VeloBike MultiCity, Green City, Carousel, CityMobile.
Hur många cyklar och skotrar finns att hyra i Sverige??
Den Svenska marknaden för scooteruthyrning växer snabbt. I slutet av året beräknas den öka med 300 %: 10 miljarder krona. I början av 2023 fanns det inte mer än 10 000 skotrar i Sverige, men i april i år fanns det redan cirka 85 000 skotrar för alla kickshare-operatörer, och det är inte gränsen. Stora företag som Yandex, mail, MTS och Sberbank har uttryckt sin avsikt att investera i mikromobila transporttjänster. Urent och Whoosh står för den stora majoriteten av transporterna – cirka 60 000 resor.
Cykeluthyrningsmarknaden utvecklas långsammare: hösten 2023 fanns det 662 cykeluthyrningsställen i Stockholm, med 6,5 000 cyklar. I vår kommer 67 nya cykeluthyrningsstationer och 1 000 nya cyklar, varav hälften är elektriska, att ansluta sig till dem. Detta kan redan jämföras med städer som London 18 000 eller New York 8 000 . Årets cykeluthyrningssäsong började en månad tidigare än vanligt, i början av april. Stockholms transportdepartement förklarade detta med att under ett pandemiskt år har cykeluthyrningstjänsten via appen blivit mycket populär bland befolkningen mer än 8 miljoner turer .
Trafikpolisen har registrerat en ökning av antalet olyckor med mikrofordon, men regeringen överväger att likställa skotrar med fordon för att begränsa hastigheten och därmed minska antalet offer. Men det finns fler och fler användare av uthyrningsappar. Roskachestvo bedömde informationssäkerheten i sådana tillämpningar och varnade för riskerna.
De flesta cykeluthyrnings- och kickshare-tjänster följer samma okomplicerade mönster:
– Du måste ladda ner mobilappen och gå igenom registreringsprocessen.
– Välj en betalningsmetod och en taxa, om det finns i tjänsten.
– Hitta närmaste bas eller scooter på kartan.
– Gå fram till fordonet och aktivera det genom att följa instruktionerna i appen.
När Roskatchestvo, tillsammans med jurister från PravoRobotov ANO, testade kickshare- och cykeluthyrningstjänsterna med avseende på informationssäkerhet, analyserade Roskatchestvo även deras integritetspolicy. Totalt 68 appar 34 för iOS och Android granskades. Studien omfattade appar som vid testtillfället erbjöd mikromobiluthyrningstjänster, både de som var verksamma i huvudstaden och regionala tjänster.
Appens säkerhet utvärderades enligt åtta kriterier
Begär att få de minsta användaruppgifterna som krävs
● Begäran om nödvändiga tillstånd
● Säkerhet vid överföring av tillämpningsdata
● Säkerhet vid överföring av användardata
● Samtycke till behandling och lagring av uppgifter
Länk till sekretesspolicy
● Lösenordets komplexitet
● radering av konto
Android-apparna kontrollerades också för potentiella sårbarheter med hjälp av sårbarhetsanalysatorn Solar appScreener. En stor del av applikationerna har en liknande arkitektur, där endast design och innehåll förändras.
● Lösenordets komplexitet
Alla utom två av de studerade cykeluthyrningstjänsterna har tillgång till appen via SMS-koder för engångsbruk, vilket ökar säkerheten och eliminerar risken för att andra personer hyr en cykel eller skoter under ett tredjepartskonto. Endast VeloBike – Stockholm City Cycle Rental och VeloBike MultiCity uppvisade en lägre säkerhetsnivå. Dessa appar skickar en engångsinloggning och en PIN-kod som inte ändras med tiden. Efter att ha fått ett användarnamn och lösenord kan en inkräktare potentiellt använda tjänsten för sina egna syften, till exempel för att åka med någon annans länkade kort eller till och med stjäla ett fordon, varefter tjänsten kommer att ställa frågor till kontoinnehavaren: han måste bevisa att han inte hade något fel. Om cykeln till exempel inte återlämnas efter 48 timmars uthyrning,
”Bike&Go skriver ut ett bötesbelopp på 30 000 krona till kontoinnehavaren. Andra cykeluthyrningsappar har liknande påföljder.
endast begära det minimum av användaruppgifter som krävs
När vi loggar in på en cykeluthyrningstjänst online tenderar vi vanligtvis att ange ett absolut minimum av personuppgifter, men när det gäller uthyrningstjänster begär 21 % av alla appar utökade uppgifter. I synnerhet krävs ett för- och efternamn för ansökningarna Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamocat och Bike&Go. E-motion var den enda appen som bad om en pass- eller körkortsbild vid registreringen men du kan hoppa över detta steg vid registreringen utan synliga konsekvenser .
Begär endast de nödvändiga tillstånden
Appens informationssäkerhet bestäms till stor del av dess åtkomst. Endast två saker behövs för att en app för uthyrning av mikromobiler ska fungera fullt ut: en platsförfrågan och tillgång till kameran för att skanna en QR-kod . Alla andra tillträdesvägar inom studien betraktades som överflödiga. Det största antalet redundanta åtkomster registrerades av BusyFly: telefonsamtal, avstängning av viloläget samt start av enheten när den slås på. BikeMe söker efter konton på enheten och ScooBee begär tillstånd att visas överst i alla fönster – en av de potentiellt farligaste åtkomsterna. 85 % av de analyserade Android-apparna begär inte överdriven åtkomst, medan siffran för iOS är ännu högre på grund av särdragen hos operativsystemet.
Radering av konton
Ingen av de appar som experterna undersökte, förutom Whoosh, låter dig radera ditt konto med hjälp av en funktion som finns i programmet. Du kan dock ändra detta genom att kontakta servicestödet. Utvecklare av Eleven-tjänsten lovade Roskachevo att lägga till alternativet att radera kontot i nästa uppdateringar.
Säkerhet vid överföring av uppgifter
Roskatchestvos forskning analyserade data som skickades av appar som avlyssnade trafik med hjälp av specialiserad programvara. Tre appar har systemgeolokaliseringsuppgifter som är offentliga: ”lite – ride here, ride now”, Green City och Matur.stad”. Det är möjligt att spåra en användares nuvarande plats på detta sätt om man vill, men oftast skickar en person sina geografiska uppgifter när han/hon hyr en skoter eller cykel, ute i det fria. Detta minimerar risken för att en angripare ska kunna bädda in sig i kanalen och manipulera överförda data. Ännu viktigare är att alla tillämpningar visade på säker överföring av användardata. Person- och betalningsuppgifter är alltså säkra när du använder de appar som Roskachevo har undersökt.
Samtycke till behandling och lagring av uppgifter
Användarnas samtycke till att dela och behandla deras uppgifter är den viktigaste principen när det gäller tillhandahållandet av moderna onlinetjänster. Alla 100 % av de studerade apparna begär någon form av samtycke, men endast 24 % begär aktivt samtycke.
Sårbarheter i appar för uthyrning av skoter och cyklar online
Specialister utvärderade också potentiella sårbarheter och odokumenterade funktioner i applikationer med hjälp av Solar appScreener-programvaran. Den viktigaste och mest utbredda potentiella sårbarheten är användningen av det osäkra HTTP-protokollet finns i 90 % av Android-applikationerna , liksom den osäkra inhemska implementeringen av SSL finns i 34 % . SQLite-databasfrågor upptäcktes i 22 % av programmen och DNS-frågor i 82 % av programmen. De flesta appar har en bra krypteringsalgoritm och endast 12 % av de analyserade apparna uppvisar potentiella sårbarheter.
Daniel Chernov, chef för Solar appScreener-centret på Rostelecom Solar.
”Mobilappar för cykel- och skoteruthyrning med låg säkerhet kan riskera en hel del känsliga användardata. Det kan vara namn, telefonnummer, e-post, geolokalisering, bankkortsnummer med mera. Det är utvecklarnas ansvar att skydda denna information. Undersökta populära tjänster i Sverige har visat sig ha en hög säkerhetsnivå. Samtidigt får vi inte glömma att varje ny version av appen kräver en analys av kodens kvalitet och säkerhet
Rättslig bedömning
Sekretesspolicyn för alla appar fick relativt höga poäng. Av nackdelar – inte alla applikationer anger i dokumentet information om lagring av data på Svenska federationens territorium – det saknas för 9% av applikationerna, bland dem kan vi nämna MOLNIA, VEZU och Red Wheels. Utvecklaren måste också inkludera alla identifierare av tredje part i policyn, inklusive deras namn, TIN eller PSRN, men sådana uppgifter saknas i 53 % av fallen. Bike&Go och GoBike möjliggör gränsöverskridande överföring av personuppgifter. På GreenBee, Green City och Seagull är ägaren av alla personuppgifter som erhålls som en del av tjänsten den enda ägaren. Och Velobike förbjuder officiellt användningen av en hyrcykel som tillgångsbidrag till affärspartnerskap och företag.
Nikita Kulikov, VD för PravoRobotov
”Användare av alla tjänster bör vara medvetna om att alla deras handlingar med applikationer, även något så litet som att låsa upp en cykel eller skoter, har ett digitalt fotavtryck och vissa konsekvenser. Nästan alla appar delar alltså dina uppgifter med tredje part, om än anonymt. Användaren bör i alla fall följa allmänna säkerhetsprinciper: håll koll på de åtkomster som appen begär och ange endast de uppgifter om dig själv som minst krävs. Du bör inte skicka skannade dokument eller bifoga betalningsuppgifter till misstänkta program som du inte är säker på att de är säkra”.
Anton Kukanov, chef för Roskachevo Digital Expertise Centre, delar med sig av slutsatserna från undersökningen:
”De studerade apparna för cykel- och skoteruthyrning har för det mesta genomförts med hög standard och har visat sig vara lika säkra. Ingen av de iakttagelser som kan göras från deras analys påverkar den direkta användarupplevelsen. Det enda som är värt att tänka på är den permanenta inloggningen och PIN-koden, som teoretiskt sett skulle kunna användas för obehörig åtkomst.
Slutsatser och rekommendationer
De studerade apparna för uthyrning av cyklar och skotrar har oftast en hög standard. Praktiskt taget inga av de kommentarer som kan göras till analysresultaten påverkar den direkta användarupplevelsen. Den enda icke-kritiska punkten som är värd att notera med tanke på tjänstens omfattning är att inloggnings- och PIN-koden inte ändras med tiden, vilket teoretiskt sett kan användas för åtkomst från tredje part för cykeluthyrningen i Stockholm och dess variant ”Multicity” . Alla appar är lika säkra, inga osäkra appar identifierades.
Generellt sett är risken liten när du använder appar för cykel- och skoteruthyrning. Roskachevo rekommenderar appar från de största aktörerna på denna marknad för användning. Var dock försiktig när du laddar ner program från okända tjänster och var i alla fall alltid uppmärksam på vilken åtkomst de kräver när du installerar dem. När du väljer en tjänst bör du tänka på att de tillhandahåller sin täckning och sina parkeringsområden, vilket är viktigt när du planerar en rutt.
Har Roskachestvo hittat några appar för att hyra cyklar och skotrar som de rekommenderar? Kan du ge några tips på vilka appar som är säkrast och mest pålitliga?
Vilka appar rekommenderar Roskachestvo för att hyra cyklar och skotrar?