В крупных городах большинство пассажиров для вызова такси пользуются мобильными приложениями. Зачастую это удобнее и дешевле. Однако далеко не все знают, что многие сервисы не несут ответственность за жизнь и здоровье людей.
Недавно центр цифровой экспертизы Роскачества исследовал 20 наиболее популярных мобильных приложений по заказу такси. Учитывая то, что сервисы собирают и хранят персональные и платежные данные, они должны показывать безупречные результаты по критерию безопасности.
Дополнительно была проанализирована информационная безопасность более 60 малоизвестных приложений. И далеко не все из них оказались безопасными.
Стоит напомнить, что в 2021 году сразу несколько сервисов, в том числе «Везет» и «Рутакси», были приобретены «Яндексом», что увеличило его общую долю и сделало абсолютным лидером рынка.
Было протестировало 20 приложений: по 10 для iOS и Android. А юристы изучили политики конфиденциальности сервисов на соответствие ФЗ «О персональных данных».
Во время исследования специалисты использовали приложения как рядовые пользователи: заказывали такси и передвигались по городу, анализировали работу приложения и его функциональные возможности, добавляли адреса в избранное и пожелания к заказам, изучали профили водителей (информацию о водителях, машинах, компании-перевозчике) и отрабатывали другие типовые сценарии использования. Дополнительно проводился тест приложений на безопасность с использованием специализированного ПО.
По результатам приложение-лидер осталось прежним («Яндекс Go»), «Таксовичкоф» уступил maxim, «Ситимобил» вышел на 3-е место (на платформах iOS и Android).
Наиболее функциональными приложениями признаны «Яндекс Go», «Таксовичкоф» (на обеих платформах и Uber на Android), а также «Ситимобил» на iOS. Наиболее удобные – «Яндекс Go», «Таксовичкоф» и maxim на Android, а также «Таксовичкоф» и maxim на iOS. Что касается информационной безопасности, все популярные приложения показали хорошие результаты. Оценки у некоторых приложений на Android были снижены за наличие «трекеров» пользовательских данных.
Большинство функций у приложений реализовано на высоком уровне. Однако Gett и DiDi не позволяют вызвать такси без предварительного указания адреса, не у всех приложений отображается расстояние, которое осталось от автомобиля до пользователя: функция отсутствует у «Поехали», «Таксовичкоф» и maxim. В версии DiDi для Android на карте не отображаются здания. Только у «Таксовичкоф», «Яндекс.Go», «Ситимобил» и Uber можно снова выбрать недавний адрес поездки.
Следующий важный для пользователя момент, когда выбор машины уже сделан, и автомобиль назначен, это профиль водителя и автомобиля. Специалисты оценивали наличие в карточке водителя ФИО водителя, его фотографии и рейтинга, информации о самом автомобиле, сведений о компании-перевозчике, данных о дате регистрации водителя в сервисе такси.
Отмечено, что между приложениями все еще наблюдается значительный разброс в степени наполненности профиля водителя, от фактического его отсутствия у «Поехали», «Омега» и TapTaxi, до полной информативной карточки с фото у «Яндекс Go», DiDi и Gett.
Следующая важная для пользователя группа критериев – это пожелания к поездке. В том случае, если у пользователя маленький ребенок, тяжелый багаж или животное, наличие соответствующих фильтров является очень важным. Как показало исследование, проблема отсутствия таких фильтров у некоторых приложений по-прежнему актуальна. Меньше всего возможностей по пожеланиям к поездке у DiDi, Gett, TapTaxi и Uber.
Дополнительно оценивалось наличие SOS-кнопки: она есть у «Омега», «Поехали», «Яндекс Go» и maxim, а также DiDi и «Ситимобил». Эта функция позволяет одним нажатием набрать номер 112, либо передать данные о своем местоположении доверенным контактам. Эта функция для кого-то может стать решающей при выборе сервиса.
По сравнению с прошлым исследованием заметно более популярной стала возможность добавить конкретного водителя в приложении в черный список (у большинства это реализовано через запрос в службу поддержки, но есть и те, кто дает возможность напрямую заблокировать водителя). Без оценки рассматривалась демонстрация пользовательского рейтинга (аналогичного водительскому), в открытом для пассажира виде он есть только у «Яндекс Go». У «Ситимобила» есть аналогичный по смыслу уровень аккаунта пользователя.
В процессе исследования приложений на безопасность, эксперты оценивали, запрашивает ли сервис только минимально необходимые пользовательские данные и разрешения, а также может ли пользователь удалить аккаунт. Отдельно анализировалась безопасность передачи данных приложения и пользовательских данных. Для этого эксперты производили захват всего трафика, который пересылает приложение, с помощью специализированного ПО (Wireshark), а затем анализировали его на наличие незашифрованных данных. С перехватом трафика успешно справились все приложения – уязвимости выявлены не были.
Также был введен новый критерий: наличие аналитических трекеров, собирающих информацию о пользователе. Они добавляются разработчиками в благих целях – для анализа поведения пользователей и использовании этих сведений для развития приложения. Однако бесплатные трекеры крупных корпораций (например, Facebook или Google) несут дополнительные риски с точки зрения информационной безопасности: без надобности со стороны пользователя IT-гиганты получают статистические данные. По этой причине наличие таких трекеров рассматривалось в ходе исследования как минус. В приложениях на iOS такие модули обнаружены не были, на Android по этому критерию были снижены баллы у maxim.
У 60% приложений привязка банковской карты осуществляется по протоколу 3-D Secure. Это код, отправляемый в СМС, нужен для того, чтобы сервис убедился, что карта действительно принадлежит вам. Теоретически его отсутствие может позволить злоумышленникам привязать чужую карту к своему аккаунту и в дальнейшем совершать оплату поездки с украденной карты или просто подобрав ее реквизиты.
Дополнительно эксперты Роскачества провели проверку всех приложений на Android анализатором на наличие уязвимостей и НДВ «Solar appScreener» при использовании технологии автоматического бинарного анализа, без осуществления реверс-инжиниринга (декомпиляции исходного кода). Были выявлены следующие потенциальные уязвимости: обращение к DNS в 50% случаев, небезопасная рефлексия выявлена у 30% исследованных приложений, небезопасная собственная реализация SSL – 20%. Слабый алгоритм хеширования у 80% исследованных приложений, использование незащищенного протокола HTTP – 70%. Внедрение в запрос к базе данных SQLite – 20%.
Дополнительно к вошедшим в исследования 20 известным приложениям специалисты также проверили на безопасность еще 63 малопопулярных приложений: 36 на платформе Android и 27 на iOS соответственно.
На платформе iOS в открытом виде передавались исключительно данные геолокации пользователя в момент заказа, всего на этом попались 6 приложений среди них «НонСтоп: сервис заказа такси»; «Такси Победа»; «DA ТАКСИ Тюмень» и «Такси Вариант». На платформе Android ситуация выглядит хуже - так, специалисты выявили 2 приложения – «SV-TAXI. Вызов такси» и «UpTaxi (все города)», которые, кроме вышеупомянутых данных геолокации, передавали в открытом доступе и персональные данные пользователя. Номер телефона в одном случае и учетные данные (номер телефона и пароль), а также модель устройства во втором случае соответственно. Данная уязвимость, помимо прямой компрометации данных, может повлечь за собой новые атаки от мошенников в сторону пользователей.
Также были выявлены 3 приложения на Android, которые передавали в незашифрованном виде данные геолокации пользователя, а именно – «Заказ такси ГОСТ», «Мой Город» и Такси Сатурн+». Как и в случае с iOS, данная уязвимость хоть и не является критичной, все же нежелательна с точки зрения обеспечения цифровой безопасности.
Отдельной проблемой на платформе Android являются избыточные или скрытые доступы приложений, которые наделяют приложения скрытыми функциями, а в некоторых случаях они могут быть даже зловредными. Так, доступ к получению данных о статусе телефона получают 17 из 36 приложений на Android, просмотр контактов у 8 из 36, а доступ к осуществлению телефонных вызовов получают 6 из 36 приложений.
Среди приложений, где запрашивались все перечисленные избыточные доступы, можно отметить «SV-TAXI. Вызов такси», «Такси Нам По Пути» и Faem.Taxi. Такие приложения Роскачество не рекомендует скачивать.
В целом все исследованные приложения показали хорошие результаты с точки зрения права, набрав 4 балла и выше. Исключение составил «Таксовичкоф», в приложении которого на момент проведения исследования ссылка на политику конфиденциальности была нерабочей. На момент публикации исследования проблема исправлена не была. Тем не менее все сервисы, кроме «Таксовичкоф», передают данные аффилированным третьим лицам.
Вопросы страховой защиты жизни и здоровья пассажиров легкового такси постоянно находятся в зоне повышенного внимания как органов государственной власти, так и всего общества, уже на протяжении нескольких лет. В рамках исследования проанализирована информацию о страховании в соответствующих приложениях. Только в трех из них: «Ситимобил», «Яндекс.Такси» и Gett - сервис автоматически страхует пассажира во время пассажира поездки, у maxim страхование пассажиров отдается на откуп третьей стороне. Остальные сервисы так или иначе перекладывают ответственность за чрезвычайные ситуации на плечи водителя и/или пассажира и вынуждают согласиться с тем, что фактически перевозчик «не обеспечивает осуществление перевозок или логистических услуг» и не принимает претензии (в том числе такая формулировка и у сервиса Uber, принадлежащего «Яндексу»).
Как пояснил руководитель Центра компетенций Международного Евразийского форума такси Станислав Швагерус, в России практика страхования пассажиров носит добровольный характер и фактически является конкурентным преимуществом агрегатора на рынке. Однако добровольность такого страхования несет в себе существенные риски для пассажиров такси. Если обязательное страхование четко определяет порядок выплат, размер страховой выплаты, определяемый как страховым законодательством, так и статьей 34 «ответственность фрахтовщика», Федерального закона от 8 ноября 2007 г. N 259-ФЗ «Устав автомобильного транспорта и городского наземного электрического транспорта», то при добровольном страховании ответственности агрегаторов этот порядок и суммы выплат определяются соглашением между страховщиком и агрегатором. Отсюда и крайне малые суммы реального возмещения ущерба жизни и здоровью пассажиров легкового такси.
Особняком стоят агрегаторы так называемого «второго эшелона», которые до сих пор не застраховали свою ответственность или не организовали «фонды выплат». Такие агрегаторы, как правило, указывают в своих внутренних правилах что «они не несут ответственности за заключаемый ими публичный договор фрахтования легкового такси, и что всю ответственность перед пассажиром несет водитель легкового такси». Данные агрегаторы упускают из вида, что, согласно статье 37 «недействительность соглашений» Федерального закона от 8 ноября 2007 г. N 259-ФЗ «Устав автомобильного транспорта и городского наземного электрического транспорта», такие документы являются недействительными.
Судебная практика по возмещению вреда жизни и здоровью пассажиров легкового такси обширна и заключается в массовом признании ответственности агрегаторов такси за вред, причиненный пассажирам легкового такси по договору фрахтования легкового такси.
Кстати, сейчас нижегородский Роспотребнадзор проводит горячую линию по услугам такси и каршеринга.
А вы часто сталкивались с проблемами при пользованиями услугами такси?
