Il Centro di competenza digitale di Roskatchestvo ha condotto uno studio sulle 20 applicazioni più popolari per ordinare i taxi via cellulare. Dato che i servizi di taxi raccolgono e memorizzano i nostri dati personali e di pagamento, dovrebbero funzionare perfettamente in termini di sicurezza. Inoltre, è stata analizzata la sicurezza di oltre 60 applicazioni poco conosciute. Purtroppo, non tutti si sono dimostrati sicuri.
Dal 2023, il mercato dei taxi è in continua crescita e in rapida evoluzione; nel 2023, diversi servizi, tra cui Veset e Rutaxi, precedentemente analizzati da Roskachevo, sono stati acquisiti da Yandex, che ha aumentato la sua quota complessiva e ne ha fatto il leader assoluto in termini di presenza 40% complessivo, 67% tra gli aggregatori, secondo Forbes a settembre 2023 .
Per scoprire quanto siano funzionali, di qualità e sicure le app per i taxi, Roskachestvo ha testato 20 app, 10 per iOS e Android. Gli avvocati di ANO PravoRobotov hanno esaminato le politiche sulla privacy dei servizi per verificarne la conformità con la legge federale “sui dati personali” n. 152-FZ del 27.07.2006 e ha evidenziato gli aspetti negativi e positivi a cui gli utenti dovrebbero prestare attenzione.
Sergey Bodrov, responsabile del Centro di competenza digitale Roskachevo.
“Durante lo studio, gli esperti hanno utilizzato le app come normali utenti: hanno ordinato taxi e guidato in città, hanno analizzato l’app e le sue funzionalità, hanno aggiunto indirizzi ai preferiti e desideri per gli ordini, hanno studiato i profili dei conducenti informazioni su autisti, auto, società di trasporto e hanno praticato altri scenari d’uso tipici”. Inoltre, le app sono state sottoposte a test di sicurezza utilizzando un software specializzato. Il risultato ha testato tutte le caratteristiche chiave, valutando la convenienza, la sicurezza delle informazioni, nonché le prestazioni e l’affidabilità delle app per ordinare i taxi”
Secondo il sondaggio, l’app leader Yandex Go è rimasta invariata, mentre Taxovitchkof ha perso terreno e Citimobile ha migliorato la sua posizione e si trova ora al terzo posto su entrambe le piattaforme iOS e Android .
Yandex Go, Taxovichkof su entrambe le piattaforme e Uber su Android, nonché Citimobile su iOS sono le app più funzionali secondo i risultati del test. Le app più facili da usare nello studio sono Yandex Go, Taxovitchkof e maxim su Android e Taxovitchkof e maxim su iOS. In termini di sicurezza delle informazioni, tutte le applicazioni più diffuse hanno mostrato buoni risultati: la maggior parte ha ottenuto 3,5 punti o più. Alcune applicazioni Android sono state declassate per la presenza di “tracker” dei dati degli utenti.
Tutti i partecipanti al sondaggio hanno implementato la maggior parte delle funzionalità ad un livello elevato. Tuttavia, Gett e DiDi non permettono di chiamare un taxi senza specificare in anticipo l’indirizzo, non tutte le app visualizzano la distanza che rimane dall’auto all’utente: la funzione è assente in Pohodlya, Taxovychkof e maxim. La versione Android di DiDi non mostra gli edifici sulla mappa. Solo in “Taxovichkof”, “Yandex.Go, Citymobile e Uber, è possibile selezionare nuovamente l’indirizzo recente del viaggio.
Il prossimo punto importante per l’utente, una volta effettuata la scelta del veicolo e assegnata la vettura, è il profilo del conducente e del veicolo. Gli specialisti hanno valutato se il nome del conducente, la foto e la valutazione del conducente, le informazioni sul veicolo, le informazioni sulla società di trasporto, i dati sulla data di registrazione del conducente nel servizio di taxi erano presenti nella carta del conducente.
Come nell’ultimo studio, c’è ancora una variazione significativa tra le applicazioni nel grado di contenuto del profilo del conducente, dall’assenza virtuale del profilo del conducente in Poholyad, Omega e TapTaxi, a una scheda informativa completa con una foto in Yandex Go, DiDi e Gett.
Il successivo gruppo di criteri importanti per l’utente è rappresentato dai desideri del viaggio. Nel caso in cui l’utente abbia un bambino piccolo, un bagaglio pesante o un animale, la presenza di filtri appropriati è molto importante. Come ha dimostrato lo studio, la mancanza di tali filtri in alcune app è ancora un problema. DiDi, Gett, TapTaxi e Uber hanno il minor numero di opzioni per la richiesta di corse.
Inoltre, è stata valutata la presenza del pulsante SOS: Omega, Let’s Go, Yandex Go e maxim, oltre a DiDi e Citimobile. Questa funzione consente di comporre il 112 con un solo tocco o di condividere la propria posizione con contatti fidati. Questa caratteristica potrebbe essere decisiva per alcuni nella scelta del servizio.
Rispetto al sondaggio precedente, la possibilità di inserire nella lista nera un determinato conducente all’interno dell’app è notevolmente più diffusa la maggior parte lo fa attraverso una richiesta di supporto, ma c’è anche chi dà la possibilità di bloccare direttamente il conducente . La visualizzazione di una valutazione dell’utente simile a quella del conducente è stata considerata senza valutazione, solo Yandex Go l’ha aperta al passeggero. Citimobile ha un livello di account utente altrettanto significativo.
Nell’esaminare le app per la sicurezza, i valutatori hanno valutato se il servizio richiedesse solo i dati e le autorizzazioni minime richieste dall’utente e se l’utente potesse cancellare l’account. La sicurezza del trasferimento dei dati dell’app e dei dati dell’utente è stata analizzata separatamente. A questo scopo, gli esperti hanno catturato tutto il traffico inviato dall’applicazione utilizzando un software specializzato Wireshark e lo hanno poi analizzato per verificare la presenza di dati non criptati. L’intercettazione del traffico è stata gestita con successo da tutte le applicazioni – non sono state identificate vulnerabilità.
È stato inoltre introdotto un nuovo criterio: la presenza di tracker analitici che raccolgono informazioni sull’utente. Vengono aggiunti dagli sviluppatori per un buon scopo: analizzare il comportamento degli utenti e utilizzare queste informazioni per lo sviluppo dell’applicazione. Tuttavia, i tracker gratuiti delle grandi aziende come Facebook o Google presentano ulteriori rischi per la sicurezza: i giganti dell’IT ricevono dati statistici senza che l’utente ne abbia bisogno. Per questo motivo, la presenza di questi tracker è stata considerata un punto a sfavore nello studio. Non sono stati rilevati moduli di questo tipo nelle applicazioni iOS; nelle applicazioni Android, i punteggi sono stati abbassati da questo criterio.
Nel 60% delle applicazioni, il collegamento di una carta bancaria avviene tramite il protocollo 3-D Secure. Questo codice, inviato via SMS, è necessario al servizio per verificare che la carta appartenga realmente all’utente. In teoria, la sua assenza potrebbe consentire agli aggressori di collegare la carta di qualcun altro al proprio conto e quindi di effettuare pagamenti di viaggi con una carta rubata o semplicemente prelevando i suoi dati.
Inoltre, gli esperti di Roskatchestvo hanno testato tutte le applicazioni Android per verificare la presenza di vulnerabilità e l’analisi delle vulnerabilità zero-day Solar appScreener utilizzando l’analisi binaria automatica senza reverse-engineering decompilazione del codice sorgente . Sono state individuate le seguenti potenziali vulnerabilità: accesso al DNS nel 50% dei casi, riflessione insicura nel 30% delle applicazioni esaminate, implementazione SSL nativa insicura nel 20%. Un algoritmo di hashing debole nell’80% delle applicazioni esaminate e l’uso di un protocollo HTTP insicuro nel 70%. Implementazione in SQLite – 20%.
Oltre a 20 applicazioni note, gli esperti hanno verificato la sicurezza di altre 63 applicazioni meno popolari: 36 su Android e 27 su iOS, rispettivamente.
Sulla piattaforma iOS solo i dati di geolocalizzazione dell’utente sono stati trasmessi in forma non criptata al momento dell’ordine, 6 applicazioni tra cui NonStop: servizio di ordinazione di taxi; Taxi Pobeda; DA TAXI Tyumen e Taxi Variant sono state colte in flagrante. Sulla piattaforma Android la situazione sembra peggiore: ad esempio, gli esperti hanno identificato 2 applicazioni – “SV-TAXI. Taxi Call” e “UpTaxi tutte le città ” che, oltre ai suddetti dati di geolocalizzazione, trasmettono al pubblico i dati personali dell’utente. Numero di telefono in un caso e credenziali numero di telefono e password e modello di dispositivo nell’altro caso, rispettivamente. Questa vulnerabilità, oltre a compromettere direttamente i dati, potrebbe portare a nuovi attacchi da parte di truffatori nei confronti degli utenti.
È stato inoltre riscontrato che tre applicazioni Android trasmettono dati di geolocalizzazione dell’utente non criptati: “Order GOST Taxi”, “My City” e Taxi Saturn+”. Come nel caso di iOS, questa vulnerabilità, sebbene non sia critica, è comunque indesiderabile dal punto di vista della sicurezza digitale.
Un problema a parte sulla piattaforma Android è rappresentato dagli accessi ridondanti o nascosti alle app, che conferiscono loro funzioni nascoste e, in alcuni casi, possono anche essere dannosi. Così, l’accesso per ottenere dati sullo stato del telefono è ottenuto da 17 delle 36 applicazioni su Android, l’accesso per visualizzare i contatti da 8 delle 36 e l’accesso per effettuare chiamate da 6 delle 36 applicazioni.
Tra le applicazioni in cui sono stati richiesti tutti gli accessi ridondanti elencati vi sono “SV-TAXI. Taxi Call, Taxi Nam Puti e Faem.Taxi. Roskatchestvo non consiglia di scaricare tali applicazioni.
Verifica della conformità dell’informativa sulla privacy delle applicazioni per l’ordinazione di taxi con la Legge sulla protezione dei dati personali n. 152-FZ del 27 dicembre 2006 .07.2006 sono stati eseguiti dagli avvocati di PravoRobotov, un’organizzazione autonoma senza scopo di lucro. Nel complesso, tutte le app esaminate hanno ottenuto buoni risultati in termini di legge, con un punteggio di 4 o superiore. Fa eccezione Taxovychkof, la cui app, al momento dell’indagine, non aveva un link all’informativa sulla privacy. Al momento della pubblicazione, il problema non è stato risolto. Tuttavia tutti i servizi, ad eccezione di Taxovickof, trasferiscono i dati a terzi affiliati.
Da alcuni anni la copertura assicurativa sulla vita e sulla salute dei passeggeri dei taxi privati è oggetto di crescente attenzione da parte delle autorità governative e del pubblico in generale. Nell’ambito dell’indagine, Roskatchestvo e gli avvocati di PravoRobotov hanno analizzato le informazioni assicurative nelle rispettive applicazioni. Solo tre di loro Citimobile, Yandex…I servizi “Taxi” e Gett assicurano automaticamente il passeggero durante il viaggio, mentre l’assicurazione del passeggero è affidata a una terza parte. Altri servizi, in un modo o nell’altro, trasferiscono la responsabilità delle emergenze sulle spalle dell’autista e/o del passeggero e costringono ad accettare che in realtà il vettore “non fornisce servizi di trasporto o di logistica” e non accetta le richieste di risarcimento tra cui questa formulazione del servizio Uber, di proprietà di Yandex .
Stanislav Shvagerus, responsabile del Centro di competenza del Forum internazionale dei taxi eurasiatici.
Nella Federazione Russa la pratica dell’assicurazione passeggeri è volontaria e rappresenta di fatto un vantaggio competitivo dell’aggregatore sul mercato”. Tuttavia, la natura volontaria di tale assicurazione comporta rischi significativi per i passeggeri dei taxi. Se l’assicurazione obbligatoria definisce chiaramente la procedura di pagamento, il pagamento assicurativo determinato sia dalla legislazione assicurativa sia dall’articolo 34 “Responsabilità del noleggiatore” della legge federale dell’8 novembre 2007, allora i premi assicurativi, così come l’importo del pagamento assicurativo, non sono inclusi nell’indennità assicurativa. N 259-fz “Statuto del trasporto automobilistico e del trasporto elettrico urbano terrestre”, in caso di assicurazione volontaria della responsabilità degli aggregatori, la procedura e l’importo dei pagamenti sono determinati da un accordo tra l’assicuratore e l’aggregatore. Da qui gli importi estremamente bassi dei risarcimenti effettivi per i danni alla vita e alla salute dei passeggeri”
Un caso particolare è costituito dai cosiddetti aggregatori di “secondo livello”, che non hanno ancora assicurato la loro responsabilità o organizzato “fondi di indennizzo”. Tali aggregatori di solito specificano nel loro regolamento interno che “non sono responsabili del contratto di taxi pubblico che stipulano e che tutta la responsabilità nei confronti del passeggero è a carico del conducente del taxi”. Questi aggregatori non tengono conto del fatto che, ai sensi dell’articolo 37 “invalidità degli accordi” della Legge federale dell’8 novembre 2007. N 259-FZ “Statuto del trasporto su strada e del trasporto elettrico urbano terrestre”, tali documenti non sono validi.
La giurisprudenza sul risarcimento dei danni alla vita e alla salute dei passeggeri di taxi passeggeri è ampia e consiste in un massiccio riconoscimento della responsabilità degli aggregatori di taxi per i danni causati ai passeggeri di taxi passeggeri nell’ambito di un contratto di noleggio di taxi passeggeri. Verificate se il servizio di prenotazione taxi che amate soddisfa i requisiti di sicurezza e segue la lettera della legge?
Lo studio è stato condotto in conformità con la metodologia di test basata sullo standard nazionale preliminare per il test comparativo delle applicazioni mobili PNST 277-2023.
Ciao! Mi chiedevo se Roskachevo potesse identificare le app insicure per chiamare i taxi. Sapresti darmi qualche consiglio su quali app evitare? Grazie in anticipo!