Sono state analizzate otto app di noleggio bici e 27 app di kickshare su entrambe le piattaforme mobili: Bike&Go, BikeMe, Bumerang Lifcar , BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Almetyevsk, GreenBee, lite, LuckyBike, Matur.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamokat, VeloBike, Velobike Multi-City, Green City, Carousel, CityMobile.
Quante biciclette e scooter a noleggio ci sono in Italia??
Il mercato del noleggio di scooter in Italia è in rapida crescita. Entro la fine dell’anno si prevede un aumento del 300%: in Euro è di 10 miliardi di euro. Mentre all’inizio del 2023 non c’erano più di 10 mila scooter in Italia, ad aprile di quest’anno ce ne sono già circa 85 mila tra tutti gli operatori di kikschering, e questo non è il limite. Le intenzioni di investire nei servizi di micromobilità sono state espresse da aziende importanti come Yandex, Mail, MTS e Sberbank. La maggior parte dei trasporti – circa 60.000 scooter – è fornita da Urent e Whoosh.
Il mercato del noleggio di biciclette sta crescendo più lentamente: nell’autunno 2023, a Roma c’erano 662 punti di noleggio, che gestivano 6,5 mila biciclette. Questa primavera verranno aggiunte 67 nuove stazioni di noleggio e 1.000 nuove biciclette, di cui la metà elettriche. Questo dato è già paragonabile a città come Londra 18 mila o New York 8 mila . Quest’anno la stagione del noleggio bici è iniziata un mese prima del solito, all’inizio di aprile. Il Dipartimento dei Trasporti di Roma ha spiegato questo fatto con il fatto che, in un anno di pandemia, il servizio di noleggio biciclette tramite l’app è diventato molto popolare tra la popolazione più di 8 milioni di viaggi .
Mentre la polizia stradale registra un aumento degli incidenti che coinvolgono le micromobili, il governo sta valutando la possibilità di equiparare gli scooter ai veicoli per limitare la velocità e, di conseguenza, ridurre le vittime. Tuttavia, sono sempre di più gli utenti di app di noleggio. Il Roskatchestvo ha valutato la sicurezza delle informazioni di tali app e ha messo in guardia dai rischi.
La maggior parte dei servizi di noleggio biciclette e kickshare segue lo stesso schema semplice:
– È necessario scaricare un’applicazione mobile e seguire il processo di registrazione.
– Scegliere un metodo di pagamento e una tariffa, se previsto dal servizio.
– Trova la base o lo scooter più vicino sulla mappa.
– Andare al veicolo e attivarlo seguendo le istruzioni dell’app.
Durante l’ispezione dei servizi di kickshare e di noleggio biciclette per quanto riguarda la sicurezza delle informazioni, Roskatchestvo, insieme agli avvocati di PravoRobotov, ha analizzato anche le loro politiche sulla privacy. Sono state studiate 68 applicazioni 34 per iOS e Android . Lo studio ha incluso le app che, al momento del test, consentivano di noleggiare veicoli per la micromobilità e ha preso in considerazione sia quelle che operano nella capitale che i servizi regionali.
La sicurezza delle applicazioni è stata valutata in base a otto criteri:
Richiesta dei dati utente minimi richiesti
Richiesta dei permessi necessari
Sicurezza della trasmissione dei dati applicativi
Sicurezza del trasferimento dei dati utente
Consenso al trattamento e alla conservazione dei dati
Link all’informativa sulla privacy
Complessità della password
Cancellazione dell’account
Le applicazioni Android sono state anche testate per individuare potenziali vulnerabilità utilizzando l’analizzatore di vulnerabilità Solar appScreener. Molte applicazioni hanno un’architettura simile, in cui cambiano solo il design e il contenuto.
Complessità della password
Tutti i servizi di noleggio di biciclette studiati, tranne due, hanno accesso all’app tramite codici SMS una tantum, il che aumenta la sicurezza ed elimina il rischio che altre persone possano noleggiare una bicicletta o uno scooter con un account di terze parti. Solo VeloBike – Moscow City Cycle Rental e Velobike Multicity hanno mostrato un livello di sicurezza inferiore. Queste app inviano un login e un PIN unici, che non cambiano nel tempo. Dopo aver appreso il login e la password, un intruso potrebbe potenzialmente utilizzare il servizio per i propri scopi, come ad esempio guidare a spese della carta collegata di qualcun altro o addirittura rubare un mezzo di trasporto, dopodiché il servizio avrebbe delle domande da porre al titolare dell’account: dovrebbe dimostrare di non essere colpevole. Ad esempio, se la bicicletta non viene restituita dopo 48 ore dal noleggio,
“BikeBee” scrive una multa di 30.000 Euro al titolare del conto. Sanzioni simili si applicano ad altre app di noleggio biciclette.
Richiede solo i dati utente minimi necessari
In genere, quando si accede a un servizio di noleggio biciclette online, si tende a inserire il minimo indispensabile dei propri dati personali, ma nel caso di un servizio di noleggio, il 21% di tutte le app richiede dati più estesi. Le applicazioni Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamocat e Bike&Go richiedono in particolare un nome e un cognome. E-motion è risultata essere l’unica applicazione che ha richiesto una foto del passaporto o della patente di guida durante la registrazione tuttavia, questo passaggio può essere saltato durante la registrazione senza conseguenze visibili .
Richiede solo le approvazioni necessarie
La sicurezza di un’applicazione è determinata in larga misura dalla sua accessibilità. Per il funzionamento completo dell’app di noleggio di micromobili ne sono necessari solo due: la richiesta di localizzazione e l’accesso alla fotocamera per la scansione di un codice QR . Tutti gli altri accessi all’interno dello studio sono stati considerati superflui. BusyFly ha registrato il maggior numero di accessi ridondanti: effettuare telefonate, disattivare la modalità di sospensione e avviarsi all’accensione del dispositivo. BikeMe cerca gli account sul dispositivo e ScooBee chiede l’autorizzazione a mostrarsi in cima a tutte le finestre: si tratta di uno degli accessi potenzialmente più pericolosi. L’85% delle applicazioni Android analizzate non richiede un accesso ridondante, su IOS la cifra è ancora più alta a causa della natura stessa del sistema operativo.
Eliminazione dell’account
Nessuna delle applicazioni analizzate, ad eccezione di Whoosh, consente agli utenti di eliminare i propri account utilizzando la funzionalità implementata nel programma. Tuttavia, è possibile farlo contattando il servizio. Undici sviluppatori del servizio hanno promesso a Roskatchestvo di aggiungere l’opzione di cancellazione dell’account nei prossimi aggiornamenti.
Sicurezza del trasferimento dei dati
Durante lo studio, Roskatchestvo ha analizzato i dati trasmessi dalle app, intercettando il traffico con un software specializzato. Tre app hanno dati di geolocalizzazione di sistema di pubblico dominio: “lite – ride here, ride now”, “Green City” e “Maturità”.città”. Se si vuole, si può tracciare la propria posizione attuale in questo modo, ma il più delle volte una persona invia i propri dati di geolocalizzazione mentre noleggia uno scooter o una bicicletta all’aria aperta. Questo riduce al minimo il rischio che un aggressore si inserisca nel canale e sia in grado di manipolare i dati trasmessi. Inoltre, tutte le app hanno dimostrato una trasmissione sicura dei dati dell’utente. Ciò significa che i dati personali e di pagamento saranno al sicuro quando si utilizzano le app studiate da Roskachevo.
Consenso al trattamento e alla conservazione dei dati
Il consenso degli utenti alla condivisione e al trattamento dei loro dati è un principio essenziale quando si forniscono servizi online moderni. Il 100% delle app intervistate richiede una qualche forma di consenso, ma solo il 24% richiede un consenso attivo.
Vulnerabilità delle app di noleggio online di scooter e biciclette
Gli esperti hanno anche valutato le potenziali vulnerabilità e le funzionalità non documentate delle app utilizzando il software specializzato “Solar appScreener”. La vulnerabilità potenziale più significativa e diffusa è l’uso di un protocollo HTTP non sicuro 90% delle app Android , simile alle implementazioni SSL native non sicure 34% . L’incorporazione di query di database SQLite è stata rilevata nel 22% delle applicazioni, l’interrogazione DNS nell’82% delle applicazioni. La maggior parte delle app dispone di un buon algoritmo di crittografia: solo il 12% delle app esaminate presenta potenziali vulnerabilità.
Daniel Chernov, direttore del centro Solar appScreener di Rostelecom Solar.
“Le app di noleggio di biciclette e scooter mobili con scarsa sicurezza possono compromettere una grande quantità di dati sensibili degli utenti”. Potrebbe trattarsi di nome e cognome, numero di telefono, e-mail, geolocalizzazione, numero di carta di credito e altro ancora. La protezione di queste informazioni è responsabilità degli sviluppatori. I servizi più diffusi in Italia sono stati analizzati e hanno riscontrato un elevato livello di protezione. Ricordate, tuttavia, che ogni nuova versione dell’applicazione richiede un’analisi della qualità del codice e della sua sicurezza
Valutazione legale
Le informative sulla privacy di tutte le app hanno ricevuto punteggi piuttosto elevati. Tra le carenze – non tutte le applicazioni indicano nel documento le informazioni relative all’archiviazione dei dati nel territorio della Federazione Russa – manca per il 9% delle applicazioni, tra cui possiamo citare MOLNIA, VEZU e Red Wheels. Gli sviluppatori sono inoltre tenuti a indicare nella polizza tutti gli identificatori di terze parti, compresi i nomi INN o OGRN, ma tali dati mancano nel 53% dei casi. Bike&Go e GoBike sono in grado di trasferire i dati personali oltre confine. Per GreenBee, Green City e Seagull, il proprietario di tutte le informazioni personali ottenute nell’ambito del servizio è l’IE. Una Velobike vieta ufficialmente l’utilizzo di una bicicletta a noleggio come contributo di proprietà a società e partnership commerciali.
Nikita Kulikov, CEO di PravoRobotov
“Gli utenti di qualsiasi servizio dovrebbero essere consapevoli che tutte le loro azioni con le app, anche quelle minori come lo sblocco di una bicicletta o di uno scooter, hanno un’impronta digitale e determinate conseguenze”. Pertanto, quasi tutte le app condividono i vostri dati con terzi, anche se in forma anonima. In ogni caso, l’utente deve attenersi ai principi generali di sicurezza: tenere d’occhio l’accesso richiesto dall’applicazione, fornire solo i dati minimi necessari su di sé. Non si devono inviare scansioni di documenti o collegare dati di pagamento ad app sospette di cui l’utente non è sicuro”.
Anton Kukanov, responsabile del Centro di competenza digitale di Roskatchestvo, condivide i risultati dello studio:
Le app per il noleggio di biciclette e scooter studiate sono per la maggior parte implementate secondo standard elevati e sono risultate ugualmente sicure”. Nessuna delle osservazioni che si possono trarre dalla loro analisi riguarda l’esperienza diretta dell’utente. L’unico aspetto da tenere presente è il login e il PIN permanenti, che in teoria potrebbero essere utilizzati per un accesso non autorizzato.
Conclusioni e raccomandazioni
Le app per il noleggio di biciclette e scooter intervistate sono per lo più implementate secondo standard elevati. Praticamente nessuna delle osservazioni che possono essere fatte come risultato dell’analisi riguarda l’esperienza diretta dell’utente. L’unico punto non critico degno di nota tenendo conto della portata del servizio è la mancata modifica nel tempo del login e del codice PIN, che teoricamente possono essere utilizzati per accessi non autorizzati nel noleggio di biciclette della città di Roma e nella sua variante Multicity . Tutte le app sono risultate ugualmente sicure e non sono state identificate app insicure.
In generale, il rischio di utilizzare le app di noleggio di biciclette e scooter è basso. Le applicazioni dei grandi attori di questo mercato sono raccomandate da Roskomnadzor. Fate attenzione, però, quando scaricate app da servizi poco conosciuti, e in ogni caso prestate sempre attenzione agli accessi che richiedono al momento dell’installazione. Quando scegliete un servizio, tenete presente che forniscono la propria copertura e le proprie aree di parcheggio, il che è importante quando si pianifica un itinerario.
Quali sono le migliori app per noleggiare biciclette e scooter secondo il Roskatchestvo?
Quali sono le app che il Roskatchestvo ha studiato per il noleggio di biciclette e scooter? Possono essere utilizzate in tutto il paese o solo in determinate città?