Роскачество оценило приложения для заказа такси

Согласно исследованию ФОМ за декабрь 2020 года, всего услугами такси за последний год пользовались 66% россиян (в крупных городах эта цифра достигает 73%). 4% россиян в последний год брали такси почти каждый день, 10% – несколько раз в неделю, 22% – несколько раз в месяц, 29% – несколько раз за год.

Большинство жителей РФ (69%) уже привыкли к сервису и считают его безопасным. Так ли это на самом деле?

В предыдущий раз Роскачество исследовало мобильные приложения по заказу такси в декабре 2019 года. Тогда у специалистов Роскачества было немало вопросов к безопасности мобильных приложений.

Чтобы выяснить, насколько приложения для заказа такси функциональны, качественны и безопасны, Роскачество протестировало 22 приложения: по 11 для iOS и Android.

Дополнительно эксперты проанализировали на безопасность малопопулярные приложения для заказа такси за скобками основного рейтинга. Среди более 100 исследованных таким образом программ были найдены небезопасные.

Пятерка лидеров в этом году изменилась не сильно: в нее вошел «Таксовичкоф», в прошлом исследовании занимавший только 7 место, а «серебряный призер» 2019 года Uber, наоборот, из лидеров выпал. Также в позиции понизился Gett – до 5-ой позиции на обеих платформах.

Лучшими по совокупности всех критериев признаны приложения «Яндекс Go», «Таксовичкоф» и «Ситимобил» на Android, на iOS – «Яндекс Go», maxim и «Таксовичкоф».

Во время исследования специалисты Роскачества использовали приложения как рядовые пользователи: заказывали и передвигались на такси, анализировали работу приложения и его функциональные возможности, добавляли адреса в избранное и пожелания к заказам, изучали профили водителей (информацию о водителях, машинах, компании-перевозчике), и так далее.

Также проводился дополнительный тест приложений на безопасность с использованием специализированного ПО. Испытания проводились по 139 критериям, были проверены все ключевые функции, оценены удобство, информационная безопасность, производительность и надежность приложений заказа такси.

При выставлении оценок приложениям учитывались результаты глубинных интервью с пользователями такси, проведенные специалистами Роскачества, и семантический анализ более 900 отзывов в App Store и Google Play Маркете.

Одна из самых важных потребительских характеристик любого мобильного приложения – это функциональные возможности. Экспертами были проверены карточки водителей и автомобилей, функция заказа автомобиля, наличие возможности оставить пожелания к поездке (наличие детей, багажа, животных и так далее), просмотра ее истории, функциональность настроек и прочее.

Недоработки, отмеченные специалистами: у DiDi на карте не отображаются здания (в версии, которая вышла уже после завершения исследования, это было исправлено), у «Рутакси» – местоположение пользователя.

Gett, DiDi и Bolt не дают возможности заказать автомобиль для другого человека. Didi и Bolt также не позволяют указать подъезд при заказе.

Gett – единственное такси без возможности указать промежуточные остановки. Gett, Bolt и Uber не позволяют заказать второй автомобиль.

«Поехали» и DiDi не позволяют просмотреть недавние адреса. Аутсайдерами при оценке карточек стали «Везет» и «Рутакси», у которых карточка водителя, по сути, отсутствует, и есть информация только об автомобиле. Фото и рейтинг водителя есть менее, чем у половины приложений.

У DiDi отсутствует функция оставить пожелания к заказу. Возможность попросить водителя о помощи при посадке есть только у maxim, «Поехали» и «Таксовичкоф» – это особенно важно для маломобильных пассажиров.

Также стоит отметить отсутствие у половины сервисов возможности указать наличие багажа или необходимость свободного пространства под его размещение.

Во время самой поездки оценивались различные функциональные возможности, облегчающие жизнь пассажиру. Если связь с водителем (до посадки) и уведомления о прибытии автомобиля реализованы как базовые функции у всех приложений, то оповещение водителя со стороны пассажира о своем выходе уже оказывается более редким (есть только у 45% приложений). А важная для безопасности пассажиров возможность поделиться ссылкой на поездку с третьими лицами присутствует почти у всех приложений – кроме «Ситимобил», Gett и «Рутакси».

Менее чем у половины приложений можно изменить способ оплаты во время поездки, у остальных это можно сделать только до момента заказа.

Самой редкой функцией в группе оказалась SOS-кнопка: она есть только у «Яндекс Go», DiDi и Bolt. Эта функция позволяет одним нажатием набрать номер 112, либо передать данные о своем местоположении доверенным контактам. Изменить маршрут уже после начала поездки позволяют все сервисы, кроме «Рутакси» и «Таксовичкоф».

Приложения по заказу такси были оценены на предмет наличия всех способов оплаты (наличный, безналичный расчет, Google/Apple Pay), а также удобство безналичного расчета (привязка нескольких карт, автозаполнение реквизитов через сканирование карты), возможность установить размер чаевых как до совершения поездки, так и после её завершения (оба варианта есть у 45% приложений).

Безналичный расчет с помощью сторонних сервисов поддерживает менее половины приложений, столько же позволяют отсканировать карту.

Отдельно от других функций оценивалась возможность добавить конкретного водителя в приложении в «черный список» (на Android есть только у DiDi, на iOS – у «Яндекс Go», Gett и Uber). Без оценки рассматривалась демонстрация пользовательского рейтинга (аналогичного водительскому), в открытом для пассажира виде он есть только у «Яндекс Go».

По результатам тестирования наиболее функциональные приложения – «Яндекс Go», «Таксовичкоф» и «Поехали» на Android, «Яндекс Go», «Таксовичкоф» и Gett на iOS.

Помимо функциональности, экспертами проверялось удобство пользования приложений. Специалисты провели юзабилити-тестирование приложений с привлечением более 180 рядовых пользователей.

В ходе исследования пользователям давались тестовые задания, например, найти в интерфейсе опцию для оставления комментариев к поездке или изменения способа оплаты, и анализировались их действия. Это позволило оценить понятность и удобство интерфейса приложений. Удобнее всего пользователям было взаимодействовать с приложениями Uber и «Яндекс.Go».

Помощь в приложении в полном объеме реализована только у «Яндекс.Go» и Uber (чат или форма обратной связи, справка по использованию сервиса, возможность сделать звонок в службу поддержки).

Адаптация для людей с ограниченными возможностями (поддержка динамического шрифта и программ чтения экрана VoiceOver / Talkback) в полном объеме присутствует только у «Таксовичкоф» на Android. У приложений на iOS в целом по данному критерию оценки традиционно хуже из-за технических особенностей платформы, 4 балла набрал только «Ситимобил».

У всех исследованных приложений отсутствуют встроенные рекламные материалы, кроме «Таксовичкоф», у которого есть встроенная рекламная интеграция сервиса по доставке еды.

Значительную важность для сервисов по заказу такси имеет информационная безопасность, так как пользователь указывает в приложении свои платежные данные, а в некоторых случаях и персональные. В процессе исследования мы оценивали, запрашивает ли сервис только минимально необходимые пользовательские данные и разрешения. Отдельно анализировалась безопасность передачи данных приложения и пользовательских данных.

Чтобы проверить безопасность передачи данных, эксперты производили захват всего трафика, который пересылает приложение, с помощью специализированного ПО (Wireshark), а затем анализировали его на наличие незашифрованных данных. С перехватом трафика успешно справились все приложения кроме Android-версий DiDi и «Везет»: Didi передает в незашифрованном виде картинки приложения (контент), а «Везет» – координаты пользователя и адрес назначения, что уже гораздо серьезнее. Потенциально, перехватив эти данные, мошенник может проследить путь до адреса назначения жертвы и в дальнейшем использовать эту информацию для целевых атак.

У всех приложений, кроме DiDi, Bolt и Uber, привязка банковской карты осуществляется по протоколу 3-D Secure.

В этом году все приложения оказались безопасными и надежными, 73% сервисов на iOS и Android набрали 4 балла и выше. У DiDi и Bolt на обеих платформах оценка была снижена за избыточный запрос данных при регистрации.

Дополнительно эксперты Роскачества провели проверку всех приложений на Android анализатором на наличие уязвимостей «Solar appScreener» при использовании технологии автоматического бинарного анализа, без осуществления реверс-инжиниринга (декомпиляции исходного кода).

В итоге были выявлены следующие потенциальные уязвимости: небезопасная собственная реализация SSL у – 54%, небезопасная рефлексия – у 81%, использование незащищённого протокола HTTP – у 90%, слабый алгоритм хеширования – у 72%, слабый алгоритм шифрования – у 9%, внедрение в запрос к базе данных SQLite – у 18%, обращение к DNS – у 90%.

Дополнительно к вошедшим в исследования 22 известным приложениям специалисты также проверили на безопасность еще около сотни куда менее популярных приложений (65% из них было для Android).

В некоторых приложениях, отдельно проверенных Роскачеством, обнаружились «дыры», которые чреваты неприятными последствиями для пользователей. Как минимум в 5 программах была выявлена незащищенная передача координат пассажира, в некоторых случаях к этому добавлялся номер и модель телефона или даже личные данные пользователя.

«Есть риск получения злоумышленниками этих данных, которые в дальнейшем могут быть использованы против жертвы», – подчеркнул Антон Куканов, руководитель Центра цифровой экспертизы Роскачества.

Незашифрованный номер телефона (у «Такси Сатурн», RED TAXI, UpTaxi, «Заказ такси ГОСТ») – потенциальная уязвимость, так как, перехватив данные, злоумышленник получит к нему доступ.

Конкретная модель телефона – тоже нежелательные сведения, ведь у каждого телефона, в зависимости от модели, – свои уязвимости, чем могут воспользоваться злоумышленники, если они целенаправленно охотятся за жертвой. Особенно это касается старых моделей смартфонов.

Личные данные (у «Такси Сатурн») – это связка номера телефона и имени, что является весьма чувствительной информацией.

Координаты (у X-Car‪, «Таксик», «НонСтоп», UpTaxi и SV-TAXI) – при наихудшем сценарии злоумышленник может получить координаты назначения, но в основном передаются координаты настоящего местонахождения. Все эти уязвимости могут оказаться входом в периметр безопасности приложения и несут в себе потенциальные угрозы. В связи с этим не рекомендуется пользоваться приложениями, если ваш телефон подключен к публичному Wi-Fi (например, в ресторане или отеле) – используйте для этой цели мобильный интернет.‬‬‬‬

Проверку на соответствие политик конфиденциальности приложений заказа такси требованиям закона «О персональных данных» (№ 152-ФЗ от 27.07.2006) проводили юристы Автономной некоммерческой организации «ПравоРоботов». В этом исследовании соответствующая группа из 17 параметров испытаний составила 10% от итоговой оценки приложений.

Юристы проанализировали политики на соответствие российскому законодательству, а также проверили приложения по важным для пользователей критериям, таким как условия прекращения обработки персональных данных, указание ответственных за их сбор лиц, сторон, которым они передаются, а также наличие глоссария и русскоязычной локализации в пользовательской документации сервисов.

Проверялась также информация о страховании пассажиров (в полном объеме присутствует внутри самого приложения она только у maxim, у остальных документ открывается в браузере).

Политика сервиса Bolt имеет указание на передачу данных третьим лицам, помимо требований установленных законодательством и аффилированных лиц, при этом перечень самих третьих лиц не приводится. А в политике Uber отсутствует информация об обрабатываемых персональных данных.

Также стоит обратить внимание на автоматическое согласие пользователей на получение рекламных рассылок (например, у maxim и «Таксовичкоф»).

Gett собирает даже такую информацию, как производительность аккумулятора и сети (например, состояние аккумулятора и использование зарядного устройства), а также имена файлов, типы и размеры файлов на вашем устройстве, включая количество свободного и используемого пространства на локальном запоминающем устройстве.

В политиках конфиденциальности всех сервисов, кроме «Таксовичкоф», имеется указание о передаче данных пользователей третьим лицам. Как правило это касается сбора данных по использованию пользователями приложений.

Никита Куликов, к.т.н., генеральный директор АНО «ПравоРоботов», отметил: «Исследование показало, что, помимо своих прямых обязанностей по обеспечению перевозки граждан, ряд сервисов собирает избыточное количество данных, напрямую не связанных с деятельностью по заказу такси.

Некоторые сервисы еще и делятся вашими данными с третьими лицами, в том числе – с иностранными. В связи с этим, любому пользователю важно помнить, что даже в самых неочевидных ситуациях конфиденциальность ваших персональных данных может быть под вопросом».

Читайте также:
Gett и Ситимобил заключили стратегическое партнёрство по работе в массовом сегменте

***

Самые интересные новости читайте в наших группах в Facebook и VKontakte, а также на канале Яндекс.Дзен.

Больше новостей и возможность поделиться своим мнением в комментариях на нашем канале в Telegram.

И подписывайтесь на итоговую рассылку самых важных новостей.

New Retail