Самокаты и велосипеды – уязвимость приложений для аренды

Рынок аренды самокатов в России стремительно растет © / pixabay.com

 Рынок аренды самокатов в России стремительно растет, сообщают специалисты Роскачества. До конца года прогнозируется его увеличение на 300%: в рублях это 10 миллиардов. Но рынок аренды велосипедов развивается медленнее.

   
   

 Эксперты предупредили пользователей приложений о возможных рисках. При проверке кикшеринговых и велопрокатных сервисов на информационную безопасность  Роскачество совместно с юристами из АНО «ПравоРоботов» проанализировало их политику конфиденциальности. Всего было изучено 68 приложений.

Все изученные сервисы аренды велосипедов, кроме двух, имеют доступ в приложение по одноразовым SMS-кодам, что повышает надежность и исключает риск того, что под сторонней учетной записью велосипед или самокат будут арендовать другие люди. Более низкий уровень безопасности продемонстрировали только сервисы «ВелоБайк - городской велопрокат Москвы» и «Велобайк Мультигорода». Они присылают разовый логин и PIN-код, который не меняется со временем. Узнав логин и пароль, злоумышленник может потенциально использовать сервис в своих целях, например ездить за счет чужой привязанной карты или даже украсть транспорт.

Информационная безопасность приложения во многом определяется его доступами. Для полноценной работы приложения аренды микромобильного транспорта необходимы только два: запрос местоположения и доступ к камере (чтобы отсканировать QR-код). Все остальные доступы в рамках исследования принимались за избыточные. Наибольшее количество избыточных доступов было зафиксировано у BusyFly: осуществление телефонных вызовов, отключение спящего режима, а также запуск при включении устройства. BikeMe осуществляет поиск аккаунтов на устройстве, а ScooBe‪e запрашивает разрешение на показ поверх всех окон - это один из самых потенциально опасных доступов. 85 % проанализированных приложений на платформе Android избыточный доступ не запрашивают, на IOS эта цифра еще выше в силу особенностей самой операционной системы.

Ни одно из приложений, кроме Whoosh, не позволяет удалить свой аккаунт при помощи реализованной в программе функции. Однако, это можно сделать, обратившись в службу поддержки сервисов.

Согласие пользователя на передачу и обработку своих данных является важнейшим принципом при предоставлении современных онлайн-услуг. В том или ином виде запрашивается согласие у всех 100% исследованных приложений, но именно активное согласие запрашивают только 24%.

Политика конфиденциальности всех приложений получила достаточно высокие оценки. Из недостатков – не все приложения указывают в документе информацию о хранении данных на территории РФ – она отсутствует у 9% приложений, среди них можно отметить MOLNIA, VEZU и Red Wheels.

   
   

 «Пользователи любых сервисов должны осознавать, что все их действия с приложениями, даже такие незначительные как разблокировка велосипеда или самоката, имеют свой цифровой след и определенные последствия. Так, почти все приложения делятся вашими данными с третьими лицами, пусть и обезличенными. В любом случае пользователю следует придерживаться общих принципов безопасности: следить за доступами, которые требует приложение, указывать только необходимый минимум данных о себе. Не следует отправлять сканы документов или привязывать платежные данные к подозрительным приложениям, в надежности которых пользователь не уверен», – рассказал Никита Куликов, генеральный директор АНО «ПравоРоботов».

Он рекомендовал быть осторожным при скачивании приложений малоизвестных сервисов и  всегда обращайть внимание на доступы, которые требуются при установке.