Как безопасно пользоваться приложениями для аренды велосипедов и самокатов?

Рынок аренды самокатов очень быстро растет в России: до конца текущего года прогнозируется его увеличение на 300% (около десяти миллиардов в рублях). Также увеличивается и количество пользователей приложений для аренды велосипедов и самокатов. Эксперты Роскачества оценили информационную безопасность таких приложений. 

Как работают сервисы? 

Схема работы не сложная. Большинство приложений работают по одинаковому принципу:

• нужно скачать мобильное приложение и пройти процесс регистрации;
• выбрать способ оплаты и тариф, если это предусмотрено в сервисе;
• найти на карте ближайшую базу или самокат;
• подойти к транспортному средству и активировать его, следуя инструкции в приложении.

Политика конфиденциальности

Роскачество и юристы из АНО «ПравоРоботов» проанализировали политику конфиденциальности. Изучались 68 приложений: 34 для iOS и 34 для Android. В исследование попали приложения, которые на момент тестирования предоставляли возможность аренды микромобильного транспорта, работающие в столице и в регионах.

Безопасность приложений оценивалась по восьми критериям: запрос минимально необходимых пользовательских данных; запрос необходимых разрешений; безопасность передачи данных приложения; безопасность передачи пользовательских данных; согласие на обработку и хранение данных; ссылка на политику конфиденциальности; сложность пароля; удаление аккаунта

Приложения для Android также были проверены на наличие потенциальных уязвимостей с помощью анализатора уязвимостей Solar appScreener. 

Результаты исследования

Все сервисы, кроме двух, дают доступ в приложение по одноразовым SMS-кодам. Это повышает надежность и исключает возможность под  учетной записью аренды велосипеда или самоката другими людьми. Более низкий уровень безопасности продемонстрировали только сервисы «ВелоБайк - городской велопрокат Москвы» и «Велобайк Мультигорода». Эти приложения присылают разовый логин, который не меняется со временем.

Расширенные персональные данные запрашивает 21% приложений.Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Берисамокат, Bike&Go требуют имя и фамилию. E-motion оказалось единственным приложением, которое попросило при регистрации фото паспорта или водительского удостоверения, но этот этап можно пропустить при регистрации.

Для полноценной работы приложений нужен доступ только к двум функциям телефона: местоположение и доступ к камере, чтобы отсканировать QR-код. Наибольшее количество избыточных доступов эксперты выявили у BusyFly: осуществление телефонных вызовов, отключение спящего режима, а также запуск при включении устройства. BikeMe осуществляет поиск аккаунтов на устройстве, а ScooBee запрашивает разрешение на показ поверх всех окон. 

Удалить свой аккаунт не позволяет ни одно из приложений, кроме Whoosh. Но это можно сделать, если обратиться в службу поддержки сервисов. Также все приложения показали безопасную передачу данных пользователя, что говорит о надежности платежных и персональных данных при использовании приложений, согласие на обработку которых запрашивают также все сервисы.