Роскачество назвало уязвимости приложений аренды самокатов и велосипедов

Роскачество исследовало восемь приложений велопроката и 27 приложений кикшеринга на двух основных мобильных платформах. Все они были признаны безопасными и не выявлено критических уязвимостей.

   
   

Эксперты отмечают, что рынок микромобильного транспорта к концу года может вырасти на 300 %, его объём составит 10 млрд рублей. В начале 2020 года в России было порядка 10 тысяч самокатов, а в апреле 2021 уже 85 тысяч единиц.

Роскачество исследовало информационную безопасность приложений, причём вместе с юристами АНО «ПравоРоботов» была исследована политика конфиденциальности. Учитывалось несколько критериев: запрос наименьшего количества данных пользователя и разрешений, безопасность передачи данных, согласие на обработку и хранение, сложность пароля и возможность удалить аккаунт. При этом большая часть приложений показала высокую надёжность.

Использование большей части приложений происходит после введения одноразовых кодов. Лишь  приложения «ВелоБайк – городской велопрокат Москвы» и «Велобайк Мультигорода» присылают не меняющийся со временем логин и PIN-код. Данные может использовать злоумышленник, к примеру, украв транспорт, в итоге сервис будет считать нарушителем именно владельца учётной записи.

Эксперты посчитали, что для работы приложения нужны только доступ к геопозиционированию и к камере для чтения QR-кода. Больше всего избыточных доступов Роскачество отметило в приложении BusyFly: приложение хочет иметь доступ к звонкам, отключать спящий режим и запускаться во время включения смартфона.

Удалить аккаунт позволяет только сервис Whoosh. Другие операторы позволяют это сделать после обращения в сервис поддержки. Разработчики сервиса Eleven пообещали добавить такую возможность в скором времени. Для этого приложение в смартфоне нужно будет обновить.

Потенциальной уязвимостью эксперты посчитали использование незащищенного протокола HTTP (у 90% приложений на Android), с ней схожа небезопасная собственная реализация SSL (у 34%). Тем не менее, у большинства приложений хорошо реализован алгоритм шифрования. 

   
   

С полной версией исследования можно ознакомиться здесь.