Роскачество проанализировало приложения для аренды самокатов и велосипедов

Эксперты Роскачества назвали самые уязвимые места приложений для аренды самокатов и велосипедов.

   
   

Они исследовали информационную безопасность таких приложений аренды таких средств передвижения и предупредило о рисках. Всего было изучено 68 приложений (по 34 для iOS и Android).

Все изученные сервисы аренды велосипедов, кроме двух, имеют доступ в приложение по одноразовым SMS-кодам, что повышает надежность и исключает риск того, что под сторонней учетной записью велосипед или самокат будут арендовать другие люди. Более низкий уровень безопасности продемонстрировали только сервисы «ВелоБайк - городской велопрокат Москвы» и «Велобайк Мультигорода».

Аренда самокатов. Фото: Роскачество

Как правило, при авторизации в сервисе онлайн-проката велосипедов мы стремимся вводить абсолютный минимум своих персональных данных, но в случае с сервисом проката расширенные данные запрашивает 21% всех приложений. В частности, приложения Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Берисамокат, Bike&Go требуют имя и фамилию.

Информационная безопасность приложения во многом определяется его доступами. Для полноценной работы приложения аренды микромобильного транспорта необходимы только два: запрос местоположения и доступ к камере (чтобы отсканировать QR-код). Все остальные доступы в рамках исследования принимались за избыточные. Наибольшее количество избыточных доступов было зафиксировано у BusyFly: осуществление телефонных вызовов, отключение спящего режима, а также запуск при включении устройства. BikeMe осуществляет поиск аккаунтов на устройстве, а ScooBe‪e запрашивает разрешение на показ поверх всех окон – это один из самых потенциально опасных доступов.  

Ни одно из приложений, которые исследовали эксперты, кроме Whoosh, не позволяет удалить свой аккаунт при помощи реализованной в программе функции. Однако, это можно сделать, обратившись в службу поддержки сервисов.

В ходе исследования специалисты Роскачества выяснили, что все приложения демонстрируют безопасную передачу данных пользователя. Значит, персональные и платежные данные при использовании приложений, исследованных Роскачеством, будут в безопасности.

   
   
Приложения. Фото: Роскачество

Алгоритм шифрования у большинства приложений реализован хорошо, потенциальные уязвимости выявлены только у 12% рассмотренных приложений. Политики конфиденциальности всех приложений получили достаточно высокие оценки.

Приложения. Фото: Роскачество

«В целом риск при использовании приложений велопроката маловероятен, и приложения от крупных игроков данного рынка рекомендуются Роскачеством к использованию. Будьте, однако, осторожны при скачивании приложений малоизвестных сервисов и всегда обращайте внимание на доступы, которые требуются при установке», – рекомендует руководитель Центра цифровой экспертизы Роскачества Антон Куканов.