Roskatchestvo ha valutato le app per la prenotazione di taxi, identificando quelle insicure

Il Roskatchestvo Center for Digital Expertise ha condotto un’indagine sulle applicazioni mobili più diffuse per ordinare taxi. Gli esperti hanno scoperto quali sono i servizi più sicuri e funzionali, e quindi consigliati, e quali invece è meglio eliminare dal proprio smartphone.

Secondo un sondaggio del dicembre 2023 della Public Opinion Foundation, il 66% dei russi ha utilizzato un taxi nell’ultimo anno percentuale che sale al 73% nelle grandi città . Il 4% dei russi prende il taxi quasi ogni giorno, il 10% più volte alla settimana, il 22% più volte al mese e il 29% più volte all’anno. La maggior parte dei cittadini russi 69% si è già abituata al servizio e lo considera sicuro. È davvero così? Roskatchestvo ha effettuato l’ultima indagine sulle app di ordinazione di taxi mobili nel dicembre 2023. All’epoca, gli esperti di Roskatchestvo si ponevano molte domande sulla sicurezza delle app mobili.

Per scoprire la funzionalità, la qualità e la sicurezza delle app per ordinare i taxi, Roskachestvo ha testato 22 applicazioni: 11 per iOS e Android. Inoltre, gli esperti hanno analizzato la sicurezza delle applicazioni non popolari per i servizi di taxi al di fuori delle principali fasce di rating. Tra le oltre 100 app esaminate, quelle insicure sono risultate.

La top five di quest’anno non è cambiata molto: Taxoviccof, che era solo 7° nell’ultimo sondaggio, vi è entrata, mentre la medaglia d’argento 2023 Uber, al contrario, è uscita dai leader. Inoltre, Gett è retrocesso in quinta posizione su entrambe le piattaforme. Le applicazioni Yandex Go, Taxovichkof e Citimobile sono state nominate le migliori su Android, mentre Yandex Go, maxim e Taxovichkof su iOS.

Durante lo studio, gli esperti del Roskatchestvo hanno utilizzato le applicazioni come normali utenti: hanno ordinato e guidato un taxi, hanno analizzato l’applicazione e le sue funzionalità, hanno aggiunto indirizzi ai preferiti e desiderato ordini, hanno studiato i profili dei conducenti informazioni su autisti, auto, società di trasporto e così via. È stato inoltre eseguito un ulteriore test di sicurezza delle applicazioni utilizzando un software specializzato. I test sono stati condotti su 139 criteri, verificando tutte le funzioni chiave, valutando la convenienza, la sicurezza delle informazioni, le prestazioni e l’affidabilità delle app per ordinare i taxi.

Per la valutazione delle applicazioni sono state prese in considerazione interviste approfondite con gli utenti di taxi condotte dagli esperti di Roskachestvo e l’analisi semantica di oltre 900 recensioni su App Store e Google Play Market.

Funzionalità

Una delle caratteristiche più importanti per i consumatori di qualsiasi applicazione mobile è la sua funzionalità. Il gruppo di esperti ha esaminato le schede dei conducenti e dei veicoli, la funzione di ordinazione di un’auto, la possibilità di lasciare desideri per il viaggio bambini, bagagli, animali domestici, ecc. , la visualizzazione dello storico, la funzionalità delle impostazioni e così via.

difetti evidenziati dagli esperti: DiDi non visualizza gli edifici sulla mappa il problema è stato risolto nella versione uscita dopo la conclusione del sondaggio e Rutaxi non visualizza la posizione dell’utente. Gett, DiDi e Bolt non offrono la possibilità di ordinare un’auto per un’altra persona. Didi e Bolt non consentono inoltre di specificare il percorso di guida al momento dell’ordine. Gett è l’unico taxi senza la possibilità di specificare le fermate intermedie. Gett, Bolt e Uber non consentono di ordinare una seconda auto. “Andiamo” e DiDi non consentono di visualizzare gli indirizzi recenti. Gli outsider nella valutazione delle carte sono stati Veset e Rutaxi, che essenzialmente non hanno una carta del conducente e hanno solo informazioni sul veicolo. Meno della metà delle app ha una foto e una valutazione del conducente.

A DiDi manca la funzione di lasciare desideri per l’ordine. La possibilità di chiedere aiuto all’autista per salire a bordo esisteva solo su maxim, Polet e Taxovychkof – questo è particolarmente importante per i passeggeri con scarsa mobilità. Vale anche la pena di notare che la metà dei servizi non permette di specificare la disponibilità di bagagli o la necessità di spazio libero per il loro posizionamento.

Durante il viaggio sono state valutate diverse funzionalità che semplificano la vita dei passeggeri. Mentre la comunicazione con il conducente prima dell’imbarco e la notifica dell’arrivo del veicolo sono implementate come funzioni di base in tutte le applicazioni, la notifica al conducente sul lato passeggero della sua partenza è già più rara solo il 45% delle applicazioni la prevede . E l’importante opzione per la sicurezza dei passeggeri di condividere il link della corsa con terzi è presente in quasi tutte le app, ad eccezione di Citimobile, Gett e Rutaxi.

Meno della metà delle app consente di cambiare il metodo di pagamento durante il viaggio, mentre le altre lo fanno solo prima dell’ordine. La caratteristica più rara nel gruppo è il pulsante SOS: solo Yandex Go, DiDi e Bolt. Questa funzione consente di comporre il 112 con un solo tocco o di condividere i dati relativi alla propria posizione con contatti fidati. Tutti i servizi, tranne “Rutaxi” e “Taxovichkof”, consentono di cambiare il percorso dopo aver iniziato il viaggio.

Le applicazioni per ordinare taxi sono state valutate per la disponibilità di tutti i metodi di pagamento contanti, bonifico bancario, Google/Apple Pay , nonché per la comodità del pagamento senza contanti collegamento di più carte, compilazione automatica dei dettagli tramite scansione della carta e per la possibilità di impostare la mancia prima e dopo il viaggio entrambi i metodi sono utilizzati dal 45% delle applicazioni . Meno della metà delle app supporta il pagamento senza contanti con servizi di terze parti, lo stesso numero di app consente la scansione della carta.

Oltre ad altre funzioni, è stata valutata la possibilità di inserire un autista nella lista nera dell’app solo DiDi su Android, Yandex Go, Gett e Uber su iOS . La dimostrazione di una valutazione dell’utente simile a quella del conducente non è stata valutata e solo Yandex Go ha una valutazione dell’utente aperta al passeggero.

Secondo i risultati dei test, le applicazioni più funzionali su Android sono “Yandex Go”, “Taxovitchkof” e “Let’s go”. su iOS – Yandex Go, Taxoviccof e Gett

Oltre alla funzionalità, gli esperti hanno testato l’usabilità delle applicazioni. Gli specialisti hanno effettuato test di usabilità delle applicazioni con oltre 180 utenti comuni. Durante lo studio, agli utenti sono stati affidati dei compiti di prova, come trovare un’opzione nell’interfaccia per lasciare commenti su una corsa o cambiare il metodo di pagamento, e le loro azioni sono state analizzate. Questo ci ha permesso di valutare la chiarezza e l’usabilità dell’interfaccia dell’applicazione. Il modo più conveniente per gli utenti di interagire con Uber e Yandex.Vai”.

L’aiuto nell’applicazione è completamente implementato solo da Yandex.Go and Uber chat o modulo di feedback, aiuto per l’utilizzo del servizio, possibilità di telefonare all’assistenza clienti .

L’adattamento per le persone con disabilità supporto per il font dinamico e lo screen reader VoiceOver Talkback è presente solo in “Taxovichkof” su Android. Le app per iOS hanno tradizionalmente ottenuto un punteggio complessivo peggiore su questo criterio, a causa delle specificità tecniche della piattaforma; solo Citimobile ha ricevuto un punteggio di 4.

Tutte le app analizzate non hanno pubblicità incorporata, tranne Taxovichkof, che ha un’integrazione pubblicitaria incorporata del servizio di consegna pasti.

Sicurezza

La sicurezza delle informazioni è di notevole importanza per i servizi di ordinazione di taxi, in quanto l’utente specifica nell’app i propri dati di pagamento e, in alcuni casi, i propri dati personali. Nel nostro sondaggio, abbiamo valutato se il servizio richiede solo i dati e i permessi minimi richiesti dall’utente. La sicurezza della trasmissione dei dati dell’applicazione e dei dati dell’utente è stata analizzata separatamente.

Per esaminare la sicurezza della trasmissione dei dati, gli esperti hanno catturato tutto il traffico inviato dall’app utilizzando un software specializzato Wireshark e lo hanno analizzato per individuare i dati non criptati. Tutte le versioni di DiDi e Veset, tranne quella per Android, sono riuscite a intercettare il traffico: Didi trasmette immagini non criptate dell’app contenuto , mentre Veset trasmette le coordinate dell’utente e l’indirizzo di destinazione, il che è molto più grave.

Potenzialmente, intercettando questi dati, un truffatore potrebbe risalire all’indirizzo di destinazione della vittima e utilizzare queste informazioni per lanciare un attacco mirato. Tutte le app, ad eccezione di DiDi, Bolt e Uber, prevedono il vincolo della carta bancaria tramite 3-D Secure.

Quest’anno, tutte le app sono risultate sicure e protette, con il 73% dei servizi per iOS e Android che hanno ottenuto un punteggio pari o superiore a 4. DiDi e Bolt su entrambe le piattaforme sono stati declassati per l’eccessiva richiesta di dati durante la registrazione.

Inoltre, gli esperti di Roskatchestvo hanno testato tutte le app Android con Solar appScreener alla ricerca di vulnerabilità utilizzando la tecnologia di analisi binaria automatizzata, senza reverse-engineering decompilazione del codice sorgente .

Di conseguenza, sono state identificate le seguenti potenziali vulnerabilità: implementazione SSL nativa insicura nel 54%, riflessione insicura nell’81%, uso di HTTP insicuro nel 90%, algoritmo di hashing debole nel 72%, algoritmo di crittografia debole nel 9%, iniezione di query di database SQLite nel 18%, query DNS nel 90%.

Oltre alle 22 applicazioni più note incluse nello studio, gli esperti hanno testato la sicurezza di un centinaio di altre applicazioni molto meno popolari il 65% delle quali per Android .

Alcune delle applicazioni ispezionate in modo indipendente da Roskachevo hanno rilevato delle falle, che potrebbero portare a conseguenze spiacevoli per gli utenti. Almeno 5 app trasmettevano in modo non protetto le coordinate dei passeggeri e, in alcuni casi, queste erano accompagnate da numero e modello di telefono o addirittura da dati personali dell’utente. C’è il rischio che i criminali informatici entrino in possesso di questi dati che potrebbero poi essere utilizzati contro la vittima”, ha dichiarato Anton Kukanov, responsabile del Centro di competenza digitale di Roskachevo.

Un numero di telefono non criptato per Taxi Saturn, RED TAXI, UpTaxi, Taxi Order GOST è una potenziale vulnerabilità, perché un intruso avrebbe accesso ad esso se intercettasse i dati. Anche il modello di telefono specifico è un’informazione indesiderata, poiché ogni modello di telefono presenta vulnerabilità diverse, che possono essere sfruttate dagli aggressori se prendono di mira una vittima. Questo vale soprattutto per gli smartphone più vecchi.

I dati personali in Taxi Saturn sono un insieme di numero di telefono e nome, informazioni altamente sensibili. Coordinate a X-Scar nel peggiore dei casi -TAXI -SV e UpTaxi, “Taxi”, “NonStop”, un intruso può ottenere le coordinate di destinazione, ma per lo più vengono trasmesse le coordinate della posizione attuale. Tutte queste vulnerabilità comportano potenziali minacce al perimetro di sicurezza dell’applicazione. Si sconsiglia pertanto l’utilizzo di applicazioni Fi ad esempio, se il telefono è collegato a una rete Wi pubblica e si utilizza Internet mobile per questo scopo . -in un ristorante o in un albergo

Informativa sulla privacy

Un controllo sulla conformità delle politiche sulla privacy delle app per l’ordinazione di taxi con i requisiti della legge “sui dati personali” No. 152-FZ del 27.07.2006 è stato condotto dagli avvocati dell’Organizzazione autonoma senza scopo di lucro “PravoRobotov. In questo studio, il gruppo rilevante di 17 parametri di test ha rappresentato il 10% del punteggio finale dell’applicazione.

Gli avvocati hanno analizzato le politiche per verificarne la conformità alla legislazione russa e hanno anche controllato le applicazioni rispetto a criteri importanti per gli utenti, come le condizioni di cessazione del trattamento dei dati personali, l’indicazione delle persone responsabili della raccolta dei dati personali, le parti a cui vengono trasferiti e la disponibilità di un glossario e di una localizzazione in lingua russa nella documentazione dei servizi per gli utenti. Sono state controllate anche le informazioni sull’assicurazione dei passeggeri solo al massimo è presente all’interno dell’app stessa, mentre per il resto il documento viene aperto nel browser .

La politica del servizio Bolt contiene un riferimento al trasferimento dei dati a terze parti diverse da quelle richieste dalla legge e dalle società affiliate, ma non vi è un elenco delle terze parti stesse. La politica di Uber non contiene informazioni sui dati personali trattati. Da notare anche il consenso automatico degli utenti a ricevere e-mail promozionali ad esempio da parte di maxim e taxoviccof .

Gett raccoglie anche informazioni come le prestazioni della batteria e della rete ad esempio, lo stato della batteria e l’utilizzo del caricabatterie , nonché i nomi dei file, i tipi e le dimensioni dei file sul dispositivo, compresa la quantità di spazio libero e utilizzato sul dispositivo di archiviazione locale.

Le politiche sulla privacy di tutti i servizi, ad eccezione di Taxovickof, si riferiscono al trasferimento dei dati degli utenti a terzi. Ciò comporta solitamente la raccolta di dati sull’utilizzo delle applicazioni da parte degli utenti.

Nikita Kulikov, k.t.n., CEO di PravoRobotov

Lo studio ha rilevato che, oltre ai loro compiti diretti di fornire il trasporto ai cittadini, alcuni servizi raccolgono una quantità eccessiva di dati non direttamente correlati alle attività di ordinazione dei taxi”. Alcuni servizi condividono i vostri dati con terze parti, anche straniere. Pertanto, è importante che ogni utente tenga presente che, anche nelle situazioni più ovvie, la riservatezza dei propri dati personali può essere compromessa.

Gli aspetti negativi e positivi delle informative sulla privacy che gli avvocati consigliano di osservare sono elencati nelle schede di ogni applicazione. Lo studio è stato condotto in conformità con la metodologia di test basata sullo standard nazionale provvisorio per il test comparativo delle applicazioni mobili PNST 277-2023