Roskachestvo güvensiz taksi uygulamalarını ortaya çıkardı

Roskatchestvo’nun Dijital Uzmanlık Merkezi, en popüler 20 mobil taksi sipariş uygulamasına ilişkin bir anket gerçekleştirdi. Taksi hizmetlerinin kişisel verilerimizi ve ödeme verilerimizi toplayıp sakladığı düşünüldüğünde, güvenlik açısından kusursuz bir performans sergilemeleri gerekir. Ayrıca 60’tan fazla az bilinen uygulamanın güvenliği analiz edildi. Ne yazık ki, hepsinin güvenli olduğu kanıtlanmadı.

Taksi pazarı 2023’dan bu yana hızla büyüyor ve değişiyor. 2023’de, daha önce Roskachevo tarafından analiz edilen Veset ve Rutaxi de dahil olmak üzere çeşitli hizmetler Yandex tarafından satın alındı ve bu da genel payını artırdı ve onu varlıkta mutlak lider yaptı Eylül 2023 itibariyle Forbes’a göre toplamda %40, toplayıcılar arasında %67 .

Taksi çağırma uygulamalarının ne kadar işlevsel, kaliteli ve güvenli olduğunu öğrenmek için Roskatchestvo 20 uygulamayı test etti: iOS ve Android için 10’ar uygulama. PravoRobotov’un avukatları da hizmetlerin gizlilik politikalarını inceleyerek “Kişisel Veriler Hakkında” Federal Kanun’a 27 Aralık 152-FZ uygunluklarını kontrol etti.07.2006 ve kullanıcıların dikkat etmesi gereken olumlu ve olumsuz yönleri vurgulamıştır.

Sergey Bodrov, Roskachevo Dijital Uzmanlık Merkezi Başkanı.

“Çalışma sırasında uzmanlar uygulamaları sıradan kullanıcılar gibi kullandı: taksi çağırdı ve şehirde dolaştı, uygulamanın çalışmasını ve işlevselliğini analiz etti, adresleri favorilere ve sipariş isteklerine ekledi, sürücü profillerini inceledi sürücüler, araçlar, taşıyıcı şirket hakkında bilgiler ve diğer tipik kullanım senaryoları üzerinde çalıştı. Ayrıca, uygulamaların güvenlik testleri özel bir yazılım kullanılarak gerçekleştirilmiştir. Sonuç olarak, taksi siparişi uygulamalarının kullanılabilirliği, bilgi güvenliği, performansı ve güvenilirliği değerlendirilerek tüm temel işlevler test edildi.”

Anket sonuçlarına göre, lider uygulama Yandex Go aynı kaldı, Taxovitchkof yol verdi, Citymobile ise konumunu geliştirdi ve şimdi her iki platformda da iOS ve Android üçüncü sırada yer alıyor.

Test sonuçlarına göre, en işlevsel uygulamalar Yandex Go, her iki platformda da Taxovychkof ve Android’de Uber’in yanı sıra iOS’ta Citimobile. Araştırma sonuçlarına göre en kullanışlı uygulamalar Android’de Yandex Go, Taxovitchkof ve maxim, iOS’ta ise Taxovitchkof ve maxim. Bilgi güvenliği açısından, tüm popüler uygulamalar iyi performans gösterdi ve çoğu 3,5 veya daha yüksek puan aldı. Bazı Android uygulamalarının kullanıcı verilerini “izlediği” gerekçesiyle sürümleri düşürüldü.

Tüm anket katılımcıları özelliklerin çoğunu yüksek düzeyde uygulamıştır. Ancak Gett ve DiDi önceden bir adres vermeden taksi çağırmaya izin vermiyor, tüm uygulamalar kullanıcıya arabadan kalan mesafeyi göstermiyor: Poholyad’, Taxovichkof ve maxim’de bu işlev yok. DiDi’nin Android sürümü haritada binaları göstermiyor. Sadece Taxoviccof, Yandex.Go, Citymobile ve Uber son seyahat adresini tekrar seçebilir.

Araç seçimi yapıldıktan ve araç atandıktan sonra kullanıcı için bir sonraki önemli nokta sürücü ve araç profilidir. Uzmanlar, sürücünün adı, sürücünün fotoğrafı ve derecesi, araçla ilgili bilgiler, taşıyıcı şirketle ilgili bilgiler, sürücünün taksi hizmetine kayıt tarihinin kartta bulunup bulunmadığını değerlendirdi.

Son çalışmada olduğu gibi, Go, Omega ve TapTaxi’de sürücü profilinin sanal olarak bulunmamasından Yandex Go, DiDi ve Gett’te fotoğraflı ve tamamen bilgilendirici bir karta kadar, sürücü profilinin doldurulma derecesinde uygulamalar arasında hala önemli farklılıklar bulunmaktadır.

Kullanıcı için bir sonraki önemli kriter grubu seyahat istekleridir. Kullanıcının küçük bir çocuğu, ağır bir bagajı veya bir hayvanı olması durumunda, uygun filtrelerin bulunması şarttır. Araştırmaya göre, bazı uygulamalarda bu tür filtrelerin bulunmaması hala bir sorun teşkil ediyor. DiDi, Gett, TapTaxi ve Uber yolculuk istekleri için en az imkana sahip.

Buna ek olarak, SOS düğmesinin kullanılabilirliği değerlendirildi: Omega, Povolyadh, Yandex Go ve maxim’in yanı sıra DiDi ve Citimobile’de de mevcut. Bu özellik, tek bir dokunuşla 112’yi aramanıza veya konum verilerinizi güvenilir kişilerle paylaşmanıza olanak tanır. Bu, bazı kişiler için hizmet seçiminde belirleyici bir faktör olabilir.

Bir önceki anketle karşılaştırıldığında, uygulamada belirli bir sürücüyü kara listeye alma özelliği gözle görülür şekilde daha popüler hale geldi çoğu kişi bunu bir destek talebi aracılığıyla uyguladı, ancak bir sürücüyü doğrudan engelleme olanağı verenler de var . Kullanıcı derecelendirmesinin sürücü derecelendirmesine benzer gösterimi derecelendirilmedi, sadece Yandex Go’da yolcular için var. Citimobile benzer şekilde anlamlı bir kullanıcı hesabı seviyesine sahiptir.

Uzmanlar, uygulamaları güvenlik açısından incelerken, hizmetin yalnızca gerekli minimum kullanıcı verilerini ve izinlerini talep edip etmediğini ve kullanıcının hesabı silip silemeyeceğini değerlendirdi. Uygulamanın ve kullanıcı verilerinin veri aktarımının güvenliği ayrı ayrı analiz edilmiştir. Bu amaçla uzmanlar, özel bir yazılım Wireshark kullanarak uygulama tarafından gönderilen tüm trafiği yakalamış ve ardından şifrelenmemiş veri olup olmadığını analiz etmiştir. Tüm uygulamalar trafik kaçırmada başarılı oldu – hiçbir güvenlik açığı tespit edilmedi.

Yeni bir kriter de getirildi: kullanıcı hakkında bilgi toplayan analitik izleyicilerin varlığı. Bunlar geliştiriciler tarafından iyi bir nedenle eklenir – kullanıcı davranışını analiz etmek ve bu bilgileri uygulamayı geliştirmek için kullanmak. Bununla birlikte, büyük şirketlerin örneğin Facebook veya Google ücretsiz izleyicileri ek güvenlik riskleri taşır: kullanıcının izni olmadan, BT devleri istatistiksel verileri alır. Bu nedenle, bu tür takip cihazlarının varlığı ankette bir eksi olarak değerlendirilmiştir. iOS uygulamalarında böyle bir modül bulunmazken, Android uygulamaları bu kriterde daha düşük puan almıştır.

Uygulamaların yüzde 60’ı banka kartlarını bağlamak için 3-D Secure kullanmıştır. Hizmetin kartın gerçekten size ait olduğunu doğrulaması için SMS ile gönderilen bir koddur. Teorik olarak, kartın yokluğu siber suçluların bir başkasının kartını kendi hesaplarına bağlamalarına ve daha sonra çalıntı karttan ödeme yapmalarına veya sadece kartın ayrıntılarını almalarına olanak sağlayabilir.

Ayrıca Roskatchestvo uzmanları, tersine mühendislik kaynak kodu açma olmadan otomatik bir ikili analiz kullanarak tüm Android uygulamalarını güvenlik açıklarının varlığı ve sıfır gün güvenlik açığı analizi “Solar appScreener” açısından test etti. Aşağıdaki potansiyel güvenlik açıkları tespit edilmiştir: vakaların %50’sinde DNS adresleme, incelenen uygulamaların %30’unda güvensiz yansıma, %20’sinde güvensiz yerel SSL uygulaması. Ankete katılan uygulamaların %80’inde zayıf hashing algoritması ve %70’inde güvensiz HTTP protokolü kullanımı. SQLite veritabanı sorgusuna enjeksiyon – %20.

Uzmanlar, iyi bilinen 20 uygulamanın yanı sıra daha az popüler olan 63 uygulamanın güvenliğini de test etti: Sırasıyla Android’de 36 ve iOS’ta 27.

iOS platformunda, sipariş sırasında yalnızca kullanıcının coğrafi konum verileri açık erişime aktarıldı, NonStop: taksi sipariş hizmeti; Taxi Pobeda; DA TAXI Tyumen ve Taxi Variant dahil olmak üzere 6 uygulama dahil edildi. Android platformunda durum daha kötü görünüyor – bu nedenle uzmanlar 2 uygulama belirledi – “SV-TAXI. Taksi çağır” ve “UpTaxi tüm şehirler “, yukarıda belirtilen coğrafi konum verilerinin yanı sıra, kullanıcının kişisel verilerini açık erişimde iletir. Bir durumda telefon numarası ve ikinci durumda sırasıyla kimlik bilgileri telefon numarası ve şifre ve cihaz modeli. Bu güvenlik açığı, verileri doğrudan tehlikeye atmanın yanı sıra, dolandırıcıların kullanıcılara yönelik yeni saldırılarına da yol açabilir.

Ayrıca, şifrelenmemiş kullanıcı coğrafi konum verilerini ileten 3 Android uygulaması tespit edilmiştir: “Order GOST Taxi”, “My City” ve Taxi Saturn+”. iOS örneğinde olduğu gibi, bu güvenlik açığı kritik olmasa da dijital güvenlik açısından istenmeyen bir durumdur.

Android platformundaki ayrı bir sorun da uygulamalara gizli işlevler kazandıran ve bazı durumlarda kötü niyetli bile olabilen aşırı veya gizli uygulama erişimleridir. Örneğin, telefonun durumu hakkında veri elde etme erişimi Android’deki 36 uygulamanın 17’sinde, kişileri görüntüleme erişimi 36 uygulamanın 8’inde ve telefon görüşmesi yapma erişimi 36 uygulamanın 6’sında elde edilmektedir.

Listelenen tüm gereksiz erişimlerin talep edildiği uygulamalar arasında “SV-TAXI. Çağrı Taksi, Taksi Nam Puti ve Faem.Taksi. Roskachestvo bu tür uygulamaların indirilmesini tavsiye etmemektedir.

Taksi çağırma uygulamalarının gizlilik politikalarının Kişisel Veriler Kanunu’na No. 152-FZ of 27 uygunluğunun kontrol edilmesi.07.2006 kar amacı gütmeyen özerk bir kuruluş olan PravoRobotov’un avukatları tarafından yürütülmüştür. Genel olarak, ankete katılan tüm uygulamalar 4 veya daha yüksek puan alarak yasal açıdan iyi performans gösterdi. Bunun istisnası, anket sırasında uygulamasında gizlilik politikası bağlantısı bulunmayan Taxovichcof’tur. Sorun yayınlandığı sırada henüz düzeltilmemişti. Bununla birlikte, Taxoviccof hariç tüm hizmetler verileri bağlı üçüncü taraflara aktarır.

Yolcu taksilerinde seyahat eden yolcular için hayat ve sağlık sigortası kapsamı, hem devlet yetkilileri hem de tüm toplum tarafından birkaç yıldır sürekli olarak incelenmektedir. Anket kapsamında Roskatchestvo ve PravoRobotov avukatları ilgili uygulamalardaki sigorta bilgilerini analiz etti. Bunlardan sadece üçü Citimobile, Yandex…Taxi” ve Gett hizmetleri, yolcuyu yolculuk sırasında otomatik olarak sigortalar ve yolcu sigortası üçüncü bir tarafa yaptırılır. Diğer hizmetler bir şekilde acil durumların sorumluluğunu sürücülere ve/veya yolculara kaydırmakta ve onları aslında taşıyıcının “ulaşım veya lojistik hizmetleri sağlamadığını” ve talepleri kabul etmediğini kabul etmeye zorlamaktadır Yandex’in sahibi olduğu Uber hizmetinin bu tür ifadeleri dahil .

Stanislav Shvagerus, Uluslararası Avrasya Taksi Forumu Yetkinlik Merkezi Başkanı.

“Türkiye Federasyonu’nda yolcu sigortası uygulaması gönüllülük esasına dayanmaktadır ve aslında toplayıcının pazardaki rekabet avantajıdır. Ancak, bu tür sigortaların gönüllülük esasına dayanması taksi yolcuları için önemli riskler taşımaktadır. Zorunlu sigorta ödeme prosedürünü açıkça tanımlarken, sigorta ödemesinin miktarı hem sigorta kanunu hem de 8 Kasım 2007 tarihli Federal Kanun’un “Kiracının Sorumluluğu” başlıklı 34. Maddesi tarafından belirlenmektedir. Toplayıcılar için ihtiyari sorumluluk sigortası, sigortacı ve toplayıcı arasındaki bir anlaşmaya dayanırken, ödeme prosedürü ve miktarları 259-fz sayılı Otomobil Taşımacılığı ve Şehir İçi Kara Elektrik Taşımacılığı Tüzüğü ile belirlenir. Bu nedenle, yolcu taksilerindeki yolculara verilen hayati ve sağlık zararlarına ilişkin gerçek tazminat miktarları son derece düşüktür”

Henüz sorumluluklarını sigortalatmamış veya “ödeme fonları” oluşturmamış olan “ikinci kademe” toplayıcılar ise diğerlerinden ayrılıyor. Bu tür toplayıcılar kendi iç kurallarında “girdikleri kamuya açık taksi kiralama sözleşmesinden sorumlu olmadıklarını ve yolcuya karşı tüm sorumluluğun taksi sürücüsüne ait olduğunu” belirtme eğilimindedirler. Bu toplayıcılar, 8 Kasım 2007 tarihli Federal Kanunun “sözleşmelerin geçersizliği” başlıklı 37. Maddesine göre. N 259-FZ “Otomobil taşımacılığı ve kentsel kara elektrik taşımacılığı tüzüğü”, bu tür belgeler geçersizdir.

Yolcu taksisi yolcularının yaşam ve sağlık zararlarının tazmini ile ilgili içtihat kapsamlıdır ve yolcu taksisi kiralama sözleşmesi kapsamında yolcu taksisi yolcularına verilen zararlardan dolayı taksi toplayıcılarının toplu sorumluluğunu içermektedir. Favori taksi hizmetinizin güvenlik gereksinimlerini karşılayıp karşılamadığını ve yasaların lafzına uyup uymadığını kontrol edin?

Çalışma, mobil uygulama karşılaştırma testi için geçici ulusal standart PNST 277-2023’e dayanan test metodolojisine uygun olarak gerçekleştirilmiştir.