Her iki mobil platformda sekiz kiralama uygulaması ve 27 kickshare uygulamasını analiz ettik: Bike&Go, BikeMe, Bumerang Lifcar , BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Almetyevsk, GreenBee, lite, LuckyBike, Matur.City, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamokat, VeloBike, Velobike Multi-City, Green City, Carousel, CityMobile.
Türkiye’da kaç tane kiralık bisiklet ve scooter var?
Türkiye’da scooter kiralama pazarı hızla büyüyor. Yıl sonuna kadar %300 oranında artması öngörülmektedir: 10 milyar Lyra. 2023’nin başında Türkiye’da 10.000’den fazla scooter bulunmazken, bu yılın Nisan ayında tüm eko-paylaşım hizmetleri operatörleri arasında yaklaşık 85.000 scooter vardı ve bu sınır değil. Yandex, mail, MTS ve Sberbank gibi büyük şirketler tarafından mikro-mobil ulaşım hizmetlerine yatırım yapma niyetleri dile getirilmiştir. Taşımacılığın büyük çoğunluğu – yaklaşık 60.000 scooter – Urent ve Whoosh hizmetleri tarafından gerçekleştiriliyor.
Bisiklet kiralama pazarı daha yavaş gelişiyor: 2023 sonbaharında İstanbul’da 6,5 bin bisiklete hizmet veren 662 bisiklet kiralama noktası vardı. Bu bahar 67 yeni kiralama istasyonu ve yarısı elektrikli olmak üzere 1.000 yeni bisiklet eklenecek. Bu rakam Londra 18.000 ya da New York 8.000 gibi şehirlerle kıyaslandığında oldukça düşüktür. Bu yıl bisiklet kiralama sezonu her zamankinden bir ay önce, Nisan ayı başında başladı. İstanbul Ulaştırma Bakanlığı bu durumu, pandemi yılında uygulama üzerinden bisiklet kiralama hizmetinin halk arasında çok popüler hale gelmesiyle 8 milyondan fazla seyahat açıkladı.
Trafik polisi mikro mobilite araçlarının karıştığı kazalarda artış kaydederken, hükümet hızları sınırlamak ve sonuç olarak can kayıplarını azaltmak için scooterları araçlarla eşitlemeyi düşünüyor. Ancak, kiralama uygulamalarının giderek daha fazla kullanıcısı var. Roskatchestvo bu tür uygulamaların bilgi güvenliğini değerlendirdi ve riskler konusunda uyardı.
Çoğu bisiklet kiralama ve kickshare hizmeti aynı karmaşık olmayan modeli takip eder:
– Mobil uygulamayı indirmeniz ve kayıt sürecinden geçmeniz gerekiyor.
– Hizmetin bir parçasıysa ödeme yönteminizi ve ücretinizi seçin.
– Harita üzerinde en yakın üssü veya scooter’ı bulun.
– Araca yaklaşın ve uygulamadaki talimatları izleyerek etkinleştirin.
Kickshare ve bisiklet kiralama hizmetlerinin bilgi güvenliğini kontrol ederken Roskatchestvo, PravoRobot’tan avukatlarla birlikte gizlilik politikalarını da analiz etti. Toplam 68 uygulama iOS ve Android için 34’er adet incelenmiştir. Çalışma, test sırasında mikro-mobil ulaşım kiralama fırsatı sunan uygulamaları içermekte olup, hem başkentte faaliyet gösterenler hem de bölgesel hizmetler incelenmiştir.
Uygulama güvenliği sekiz kriter kullanılarak değerlendirilmiştir:
Gerekli minimum kullanıcı verilerini talep etme
Gerekli izinlerin talep edilmesi
Uygulama verilerinin güvenli iletimi
Kullanıcı veri aktarımının güvenliği
Veri işleme ve saklama izni
Gizlilik politikasına bağlantı
Parola karmaşıklığı
Bir hesabı silme
Android uygulamaları ayrıca Solar appScreener’ın güvenlik açığı analizörü kullanılarak potansiyel güvenlik açıkları açısından kontrol edildi. Uygulamanın büyük bir kısmı, yalnızca tasarım ve içeriğin değiştiği benzer bir mimariye sahiptir.
Parola karmaşıklığı
Çalışılan bisiklet kiralama hizmetlerinin ikisi hariç hepsinin uygulamaya tek seferlik SMS kodlarıyla erişimi vardır; bu da güvenliği artırır ve diğer kişilerin üçüncü taraf hesabı altında bisiklet veya scooter kiralama riskini ortadan kaldırır. Sadece VeloBike – Moscow City Cycle Rental ve VeloBike MultiCity daha düşük bir güvenlik seviyesi gösterdi. Bu uygulamalar, zaman içinde değişmeyen tek seferlik bir giriş ve PIN kodu gönderir. Kullanıcı adınızı ve şifrenizi ele geçirdikten sonra, bir saldırgan hizmeti kendi amaçları için kullanabilir, örneğin, başka birinin bağlantılı kartı pahasına binmek veya hatta bir ulaşım aracını çalmak için, bundan sonra hizmetin tam olarak hesap sahibine soruları olacaktır: hatalı olmadığını kanıtlaması gerekecektir. Örneğin, bisiklet 48 saatlik kiralama süresinden sonra iade edilmezse,
“Velobike” hesap sahibine 30 bin Lyra para cezası yazdı. Benzer yaptırımlar diğer bisiklet kiralama uygulamaları için de geçerli.
Yalnızca gereken minimum kullanıcı verilerini talep etme
Tipik olarak, çevrimiçi bir bisiklet kiralama hizmetine giriş yaparken, kişisel verilerimizin mutlak minimumunu girme eğilimindeyizdir, ancak bir kiralama hizmeti söz konusu olduğunda, tüm uygulamaların %21’i tarafından gelişmiş veriler talep edilmektedir. Özellikle Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamocat, Bike&Go uygulamaları bir ad ve soyadı gerektirir. E-motion, kayıt sırasında pasaport veya ehliyet fotoğrafı isteyen tek uygulamaydı ancak bu adım kayıt sırasında görünür sonuçlar olmadan atlanabilir .
Yalnızca gerekli izinlerin alınması
Bir uygulamanın bilgi güvenliği büyük ölçüde erişimine göre belirlenir. MicroMobile kiralama uygulamasının tam işlevselliği için sadece iki tanesi gereklidir: konum talebi ve kamera erişimi QR kodu taramak için . Çalışmadaki diğer tüm erişimler gereksiz görülmüştür. BusyFly en fazla sayıda yedekli erişime sahipti: telefon görüşmesi yapma, uyku modunu devre dışı bırakma ve cihaz açıldığında başlatma. BikeMe cihazınızdaki hesapları ararken, ScooBee tüm pencereleri göstermek için izin ister – bu potansiyel olarak en tehlikeli erişimlerden biridir. Android platformunda analiz edilen uygulamaların %85’i gereksiz erişim talep etmemektedir; IOS’ta ise işletim sisteminin doğası gereği bu rakam daha da yüksektir.
Hesap silme
Whoosh dışında uzmanların incelediği uygulamaların hiçbiri, programda uygulanan işlevle hesabınızı silmenize izin vermiyor. Ancak, bu işlem servisle iletişime geçilerek yapılabilir. Eleven hizmetinin geliştiricileri Roskachevo’ya gelecek güncellemelerde hesap silme seçeneği ekleme sözü verdi.
Veri iletim güvenliği
Roskatchestvo, uygulamalar tarafından iletilen verileri analiz etti ve özel bir yazılım kullanarak trafiğe müdahale etti. Üç uygulama kamuya açık sistem coğrafi konum verilerine sahiptir: “lite – ride here, ride now”, “Green City” ve “Matur.şehir”. İsterseniz bir kullanıcının mevcut konumunu bu şekilde takip edebilirsiniz, ancak çoğu zaman bir kişi açık havada bir scooter veya bisiklet kiraladığında coğrafi konum verilerini gönderir. Bu, davetsiz bir misafirin kendisini kanala sokma ve iletilen verileri manipüle etme riskini en aza indirir. Daha da önemlisi, tüm uygulamalar kullanıcı verilerinin güvenli bir şekilde iletildiğini göstermiştir. Böylece, Roskachevo tarafından incelenen uygulamaları kullanırken kişisel ve ödeme verileri güvende olacak.
Veri işleme ve saklama izni
Kullanıcıların verilerini paylaşma ve işleme izni, modern çevrimiçi hizmetlerin sağlanmasında kritik bir ilkedir. Ankete katılan uygulamaların %100’ünden bir tür onay isteniyor, ancak yalnızca %24’ü aktif onay talep ediyor.
Çevrimiçi scooter ve bisiklet kiralama uygulamalarındaki güvenlik açıkları
Uzmanlar ayrıca Solar appScreener yazılımını kullanarak uygulamaların potansiyel güvenlik açıklarını ve belgelenmemiş özelliklerini değerlendirdi. En önemli ve yaygın potansiyel güvenlik açığı, güvensiz HTTP protokolünün kullanılması Android uygulamalarının %90’ı için ve benzer şekilde güvensiz yerel SSL uygulamasıdır %34 için . SQLite veritabanı sorgusu gömme işlemi uygulamaların %22’sinde, DNS sorguları ise uygulamaların %82’sinde tespit edilmiştir. Çoğu uygulamadaki şifreleme algoritması iyi bir şekilde uygulanmıştır ve değerlendirilen uygulamaların yalnızca %12’sinde potansiyel güvenlik açıkları bulunmaktadır.
Daniel Chernov, Rostelecom Solar’da Solar appScreener merkezi müdürü.
“Bisiklet ve scooter kiralamaya yönelik düşük güvenlikli mobil uygulamalar büyük miktarda hassas kullanıcı verisini tehlikeye atabilir. İsim, telefon numarası, e-posta, coğrafi konum, banka kartı numarası ve daha fazlası olabilir. Bu bilgilerin korunması geliştiricilerin sorumluluğundadır. Türkiye’da araştırılan popüler hizmetler yüksek güvenlik seviyesi gösterdi. Ancak, uygulamanın her yeni sürümünün kodun kalitesinin ve güvenliğinin gözden geçirilmesini gerektirdiğini unutmayın
Yasal değerlendirme
Tüm uygulamaların gizlilik politikaları oldukça yüksek not aldı. Dezavantajlardan – Türkiye Federasyonu topraklarında veri depolama ile ilgili belge bilgilerinde belirtilen tüm uygulamalar değil – uygulamaların% 9’unda yoktur, aralarında MOLNIA, VEZU ve Red Wheels işaretlenebilir. Geliştiricinin ayrıca TIN veya PSRN dahil olmak üzere tüm üçüncü taraf tanımlayıcılarını poliçeye dahil etmesi gerekmektedir, ancak vakaların %53’ünde bu tür veriler eksiktir. Bike&Go ve GoBike kişisel verilerin sınır ötesi aktarımına sahiptir. GreenBee, GreenCity ve Seagull’da hizmetin bir parçası olarak toplanan tüm kişisel bilgilerin sahibi IP. Velobike, kiralık bir bisikletin iş ortaklıklarına ve şirketlere varlık katkısı olarak kullanılmasını resmi olarak yasaklar.
Nikita Kulikov, PravoRobotov CEO’su
“Herhangi bir hizmetin kullanıcıları, bir bisikletin veya scooter’ın kilidini açmak kadar küçük bir şey bile olsa, uygulamalarla yaptıkları tüm eylemlerin dijital bir ayak izi ve belirli sonuçları olduğunun farkında olmalıdır. Örneğin, neredeyse tüm uygulamalar verilerinizi anonim olarak da olsa üçüncü taraflarla paylaşır. Her durumda, kullanıcı genel güvenlik ilkelerine uymalıdır: uygulamanın gerektirdiği erişimi göz önünde bulundurun, kendileri hakkında yalnızca gerekli minimum verileri sağlayın. Hiçbir belge taraması gönderilmemeli veya kullanıcının emin olmadığı şüpheli uygulamalarla bağlantılı ödeme verileri gönderilmemelidir.”.
Roskatchestvo’nun Dijital Uzmanlık Merkezi Başkanı Anton Kukanov, çalışmanın sonuçlarını paylaşıyor:
“İncelenen bisiklet ve scooter kiralama uygulamaları çoğunlukla yüksek standartlarda uygulanmış ve eşit derecede güvenli bulunmuştur. Analizlerinden çıkarılabilecek eleştirilerin hiçbiri doğrudan kullanıcı deneyimini etkilemez. Dikkat edilmesi gereken tek nokta, zaman içinde değişmeyen ve teorik olarak yetkisiz erişim için kullanılabilecek olan giriş ve PIN kodudur.”.
Sonuçlar ve öneriler
İncelenen bisiklet ve scooter kiralama uygulamaları genel olarak iyi uygulanmıştır. Analiz sonuçlarına dayanarak yapılabilecek gözlemlerin neredeyse hiçbiri doğrudan kullanıcı deneyimini etkilemez. Belirtilmesi gereken tek kritik olmayan nokta hizmetin ölçeği göz önüne alındığında , giriş ve PIN kodunun zaman içinde değişmediği ve teorik olarak yetkisiz erişim için kullanılabileceğidir Moscow City Cycle Rental ve varyantı Multicity için . Tüm uygulamalar eşit derecede güvenli olarak değerlendirilmiş, güvensiz uygulama tespit edilmemiştir.
Genel olarak, bisiklet ve scooter kiralama uygulamalarını kullanırken risk olasılığı düşüktür. Pazardaki büyük oyuncuların uygulamaları Roskachevo tarafından kullanım için tavsiye edilmektedir. Bununla birlikte, az bilinen hizmetlerden uygulama indirirken dikkatli olun ve her durumda, bunları yüklerken gerektirdikleri erişime her zaman dikkat edin. Bir servis seçerken, rota planlaması için önemli olan kendi kapsama ve park alanlarını sağladıklarını unutmayın.
Bu uygulamaların kullanımı kolay mı? Hangi uygulamaları tavsiye edersiniz? Fiyatları nasıl? Güvenli bir şekilde kiralama yapabilir miyim? Ödeme yöntemleri nelerdir? Kullanıcı yorumları nasıl?
Roskachestvo bisiklet ve scooter kiralamaya olanak tanıyan uygulamaları araştırmış. Bu uygulamaların isimlerini ve avantajlarını bilmek istiyorum. Hangi uygulama daha güvenilir ve ekonomik? Tavsiyeleriniz nelerdir?