После обнаружения в апреле этого года большого количества уязвимостей в мобильных приложениях для заказа такси, эксперты Роскачества провели дополнительную проверку данной категории.
Согласно опросу ВЦИОМ, проведенному в 2017 г., более 51% жителей крупных городов пользуются услугами такси. Объем рынка таксомоторных перевозок в России составляет свыше 570 млрд рублей, при этом треть заказов делается через мобильные приложения. Количество скачиваний и установок в данной категории приложений исчисляется десятками миллионов.
Илья Лоевский, заместитель руководителя Роскачества:
Илья Лоевский
Мобильные технологии произвели революцию на рынке такси. С появлением мобильных приложений для заказа такси конкуренция обострилась до предела, в связи с чем поездки стали куда дешевле, а время подачи машины сократилось в несколько раз. Однако есть и другая сторона медали — пропорционально снижению тарифов падают качество сервиса и безопасность перевозок. Пассажиры такси заинтересованы в повышении уровня качества и безопасности этих важных услуг.
Роскачество проверило качество наиболее популярных мобильных приложений для заказа такси в российском сегменте магазинов App Store и Google Play — всего 40 приложений (19 для iOS и 21 для Android). В исследование вошли приложения сервисов, предоставляющие услуги по заказу такси эконом- или комфорт-класса (а также их аналогов).
Количество приложений, которые перешагнули итоговую отметку в 4 балла, составляет 22 из 40. Все они рекомендуются Роскачеством к использованию. Отметку в 3 балла преодолели все исследованные приложения.
Лучшими по совокупности всех критериев признаны приложения «Яндекс.Такси», Uber Russia и Gett на iOS и «Яндекс.Такси», «Ситимобил» и Uber Russia на Android.
Конечно, основная задача приложений по заказу такси — это обеспечение возможности заказа такси из точки, А в точку Б, однако Роскачество оценило приложение на соответствие многим другим, не менее важным требованиям.
Оценивая функциональность мобильных приложений, Роскачество проверило наличие и полноту информации в карточках водителей. Минимальный балл по этому критерию (1 из 5) получили приложения «Rutaxi Онлайн», «Везёт (Rutaxi)» и «Такси Престиж Эконом» на iOS и «Рутакси», «Везёт (Рутакси)», «Такси Престиж Эконом» и «Такси Бонус» на Android, так как в большинстве случаев их клиенты не видят имя и фамилию водителя, его рейтинг и информацию о компании-перевозчике.
Комментарии для водителя при заказе такси отсутствуют у приложений Bolt (Taxify), «Rutaxi Онлайн», «Такси Престиж Эконом» и «Мегаполис» как на iOS, так и на Android, за что все они получили 0 баллов при оценке этого критерия.
Критерий «Связь с водителем» подразумевает возможность связаться с ним после оформления заказа, не выходя из мобильного приложения, выбрав при этом наиболее удобный канал связи (по телефону / в чате). Также проверялась возможность связи с водителем в течение 24-х часов с момента завершения поездки на случай, если вы, например, что-то забыли в салоне такси. Максимальный балл по этому критерию получили приложения «Яндекс.Такси», maxim и «Поехали». Остальные приложения, как правило, не позволяют писать водителю в чате.
Отслеживание поездки на карте имеется во всех приложениях. Максимальный балл (5 из 5) получило 40% исследованных приложений, так как они позволяют поделиться ссылкой с другими людьми для отслеживания перемещения такси на карте — это повышает безопасность поездки.
Стоит отметить, что в исследовании не рассматривалась функциональность, связанная с заказом премиум-такси.
По результатам тестирования наиболее функциональные приложения как на iOS, так и на Android — «Яндекс.Такси» (4,79), «ТаксовичкоФ» (4,76), maxim (4,51) и «Поехали» (4,51).
Оно оценивалось экспертами по 10 параметрам, таким как «Простота и качество навигации», «Помощь в приложении», «Адаптация для людей с ограниченными возможностями» и др.
Эксперты определяли, насколько легко при первом знакомстве с программой понять, как реализована функциональность, подсчитывали минимально необходимое количество кликов.
Что касается адаптации для людей с ограниченными возможностями, то эксперты проверяли поддержку динамического (увеличенного) шрифта и функций программ чтения экрана VoiceOver / Talkback. По итогам проверки максимальный балл получило приложение maxim на Android, у остальных приложений либо полностью отсутствовала поддержка функций чтения экрана VoiceOver /Talkback, либо была реализована частично.
Наиболее удобные на iOS — «Яндекс.Такси» (4,57), «ТаксовичкоФ» (4,37) и Gett (4,34). На Android — «Яндекс.Такси» (4,72), «Ситимобил» (4,72) и Uber Russia (4,72).
Крайне важная группа показателей: эти мобильные приложения включают сбор и хранение личных данных, а также онлайн оплату услуги.
Если приложение передает пользовательские данные (ФИО, контактные данные, платежные и регистрационные данные (логин, пароль), геоданные и др.) в незашифрованном виде, этой уязвимостью могут воспользоваться злоумышленники и перехватить конфиденциальные данные.
Это особенно опасно при использовании публичного Wi-Fi. Злоумышленник может создать сеть с похожим названием, и жертва по ошибке подключится именно к ней, неосознанно направляя хакеру свои данные. Или же сеть может принадлежать кафе или отелю, вы к ней подключаетесь, а злоумышленник осуществит перехват данных посредством атаки Man-in-the-Middle («человек посередине»), если между клиентом и сервером нет стойкого шифрования.
Не используйте мобильные приложения с уязвимостями, особенно подключаясь к публичной сети.
Эксперты с помощью специализированного ПО (Wireshark) производили захват всего трафика, который пересылает исследуемое приложение, а затем анализировали его на наличие как незашифрованного контента, так и незашифрованных пользовательских данных. Большинство приложений, а именно — 75%, получили по данному критерию самый высокий балл. Это значит, что все данные пользователя передаются с использованием алгоритмов шифрования.
Наименьший результат (1 из 5) по данному критерию у приложения «Масани» — оно передает в незашифрованном виде геоданные, номер мобильного телефона с пинкодом и комментарий к заказу. Также низкий балл (1,5 из 5) у приложений — inDriver, «Такси 777» и «Ангел» на iOS и у «Ангел» на Android — в незашифрованном виде передается номер мобильного телефона с паролем и геоданные.
3 балла по критерию передачи пользовательских данных получили «ТаксовичкоФ» на iOS и «ТаксовичкоФ», «Везёт» (Рутакси) и Taxi Seven на Android — эти приложения передают геоданные в незашифрованном виде.
Эксперты отметили, что платежные данные во всех проверенных приложениях передаются с использованием платежных шлюзов, что обеспечивает им высокую степень безопасности.
Отсутствие шифрования картинок и метаданных устройства было выявлено у приложения Gett на Android (оно получило 3 балла из 5). 4 балла получили «Поехали: заказ такси», «Такси 777», «Такси Престиж Эконом», «Масани» и «Мегаполис» на iOS и ТасковичкоФ, «Такси Престиж Эконом», «Масани», «Мегаполис» и «Такси Бонус» (отсутствует шифрование или передаваемых картинок, или метаданных устройства).
Незашифрованный контент при передаче возможно подменить исполняемым файлом, при открытии которого может быть выполнена вредоносная программа. Отсутствие шифрования делает устройство уязвимым для атак. Приложения проверялись на наличие уязвимостей с помощью специализированного инструмента Solar appScreener.
Даниил Чернов, руководитель направления Solar appScreener компании «Ростелеком-Солар»:
Даниил Чернов
Все обнаруженные в приложениях уязвимости в конечном счете могут привести к различным сценариям взлома с целью манипуляции данными. При заказе такси через приложение следует обращать внимание на уровень его безопасности. Используя слабозащищенные приложения, пользователь сам ставит под удар свои конфиденциальные данные.
Запрос только необходимых разрешений также является одним из важных критериев оценки. 93% приложений получили 5 баллов. Приложения Gett, «Такси Престиж Эконом» и «Такси Бонус» на Android запрашивали доступ к контактам, который эксперты сочли чрезмерным.
Активное согласие на обработку и хранение персональных данных запрашивают только приложения «Такси Престиж Эконом», XTaxi и «Мегаполис такси» на iOS и «Такси Престиж Эконом» и «Мегаполис такси» на Android. Согласие и вовсе отсутствует у приложений «Яндекс.Такси», «Такси 777», «Масани», TaxiSeven и «Ангел» на iOS. На Android также не запрашивали согласие следующие приложения: «Такси 777», Taxi Seven, «Ангел» и «Такси Бонус».
Удаление аккаунта реализовано только в «Яндекс.Такси» и «Uber Russia», остальные приложения по данному критерию получили 0 баллов.
Сведения о страховании пассажиров во время поездки были указаны в 55% оцениваемых приложений: «Яндекс.Такси», Gett, Bolt, Maxim,
«Ситимобил», Rutaxi, Uber Russia, inDriver, «Везет», «Поехали» и «Такси 777». Остальные 45% приложений таких данных не имеют.
Наиболее безопасные приложения (с точки зрения информационной безопасности) на iOS — Uber Russia (4,80), «Яндекс.Такси» (4,50), Gett (4,40), «Rutaxi Онлайн» (4,40) и «Везёт (Rutaxi)» (4,40). На Android — «Яндекс.Такси» (4,80), «Uber Russia» (4,43), «Рутакси» (4,40) и inDriver (4,40).
Ирина Зарипова, Председатель Общественного Совета по развитию такси:
Ирина Зарипова
Радует, что сервисы, которые были основаны в России, получили высокий рейтинг. Мы будем рекомендовать агрегаторам сделать услугу заказа такси доступной и для людей с ограниченными возможностями передвижения. Чтобы человек мог заказать такси с пометкой, и к нему приезжал специализированный автомобиль.
Полностью исследование можно прочитать здесь.
