Роскачество назвало минусы приложений для аренды самокатов и велосипедов

Роскачество опубликовало результаты нового исследования о главных уязвимостях приложений для аренды самокатов и велосипедов. 

Пользователей приложений для аренды все больше. Эксперты Роскачества оценили информационную безопасность таких приложений и предупредили о рисках.  

При проверке кикшеринговых и велопрокатных сервисов на информационную безопасность специалисты Роскачества совместно с юристами из АНО «ПравоРоботов» также проанализировали их политики конфиденциальности. Всего было изучено 68 приложений (по 34 для iOS и Android). В исследование попали приложения, которые на момент тестирования предоставляли возможность аренды микромобильного транспорта, при этом изучались как работающие в столице, так и региональные сервисы. 

Все изученные сервисы аренды велосипедов, кроме двух, имеют доступ в приложение по одноразовым SMS-кодам. Это повышает надежность и исключает риск, что под сторонней учетной записью велосипед или самокат арендуют другие люди. 

Более низкий уровень безопасности продемонстрировали только сервисы «ВелоБайк - городской велопрокат Москвы» и «Велобайк Мультигорода». Эти приложения присылают разовый логин и PIN-код, который не меняется со временем. Узнав логин и пароль, злоумышленник может потенциально использовать сервис в своих целях. Например, ездить за счет чужой привязанной карты или даже украсть транспорт, после чего вопросы у сервиса будут именно к владельцу учетной записи: ему придется доказывать, что он не виноват. Например, если велосипед не сдан после 48 часов аренды, «Велобайк» выписывает владельцу учетной записи штраф в 30 тысяч рублей. Аналогичные санкции предусмотрены и у других приложений велопроката. 

Специалисты также оценили потенциальные уязвимости и недокументированные возможности приложений. Наиболее значимая и распространенная - это использование незащищённого протокола HTTP (у 90% приложений на Android), с ней схожа небезопасная собственная реализация SSL (у 34%). Внедрение в запрос к базе данных SQLite зафиксировано у 22%, обращение к DNS у 82% приложений. Алгоритм шифрования у большинства приложений реализован хорошо, потенциальные уязвимости выявлены только у 12% рассмотренных приложений. 

«Исследованные приложения аренды велосипедов и самокатов в большинстве своем реализованы на высоком уровне и признаны в равной степени безопасными. Ни одно из замечаний, которые можно предъявить по результатам их анализа, не влияет на непосредственный пользовательский опыт. Единственный момент, на который стоит обратить внимание – не меняющийся со временем логин и PIN-код, который теоретически можно использовать для постороннего доступа», - подчеркнул руководитель Центра цифровой экспертизы Роскачества Антон Куканов.