Roskatchestvoâs Center for Digital Expertise heeft een onderzoek uitgevoerd naar de 20 meest populaire apps voor het bestellen van mobiele taxiâs. Aangezien taxidiensten onze persoonlijke en betalingsgegevens verzamelen en opslaan, moeten zij onberispelijk presteren op het gebied van beveiliging. De veiligheid van meer dan 60 weinig bekende toepassingen werd bovendien geanalyseerd. Helaas bleken ze niet allemaal veiligâŠ
Sinds 2023 is de taximarkt voortdurend gegroeid en snel veranderd, in 2023 werden verschillende diensten, waaronder Veset en Rutaxi, eerder geanalyseerd door Roskachevo, overgenomen door Yandex, waardoor het zijn totale aandeel vergroot en de absolute leider in aanwezigheid wordt 40% algemeen, 67% onder aggregators, volgens Forbes vanaf september 2023 .
Om erachter te komen hoe functioneel, kwalitatief en veilig taxi-apps zijn, testte Roskachevo 20 apps: 10 elk voor iOS en Android. En de advocaten van PravoRobotov hebben het privacybeleid van diensten onderzocht op naleving van de Federale Wet âOp de Persoonsgegevensâ nr. 152-FZ van 27..10..1998 .07.2006 en benadrukte de negatieve en positieve aspecten waarop gebruikers moeten letten.
Sergey Bodrov, hoofd van Roskatchestvoâs Digitale Expertisecentrum.
âTijdens het onderzoek hebben deskundigen de apps gebruikt als gewone gebruikers: ze bestelden taxiâs en reden rond in de stad, analyseerden de werking en functionaliteit van de app, voegden adressen toe aan favorieten en aanvragen voor bestellingen, bestudeerden chauffeursprofielen informatie over chauffeurs, autoâs, vervoerder en werkten andere typische gebruiksscenarioâs uit. Bovendien hebben we de beveiliging van de apps getest met behulp van bedrijfseigen software. Alle belangrijke functies werden getest, waarbij de bruikbaarheid, de informatiebeveiliging en de prestaties en betrouwbaarheid van de toepassingen voor het bestellen van taxiâs werden geĂ«valueerdâ
Volgens de onderzoeksresultaten blijft de leidende app dezelfde Yandex Go , heeft Taxoviccof terrein verloren en heeft Citimobile zijn positie verbeterd en staat nu op de derde plaats op beide platforms iOS en Android .
Volgens de testresultaten zijn de meest functionele apps Yandex Go, Taxovichkof op beide platforms en Uber op Android, evenals Citimobile op iOS. De meest gebruiksvriendelijke apps volgens de enquĂȘteresultaten zijn Yandex Go, Taxovitchkof en maxim op Android, en Taxovitchkof en maxim op iOS. Op het gebied van informatiebeveiliging presteerden alle populaire apps goed, waarbij de meeste een 3,5 of hoger scoorden. Sommige Android-apps werden gedegradeerd omdat ze âtrackersâ van gebruikersgegevens hadden.
Alle deelnemers aan de enquĂȘte hebben de meeste functies op een hoog niveau geĂŻmplementeerd. Gett en DiDi laten echter niet toe een taxi op te roepen zonder adres, niet alle toepassingen tonen de afstand van de auto tot de gebruiker: de functie ontbreekt in âPokhodeliâ, âTaxovichkofâ en maximuum. De Android-versie van DiDi toont geen gebouwen op de kaart. Alleen Taxoviccof, Yandex.Goâ, âCitymobileâ en Uber kan opnieuw een recent ritadres selecteren.
Het volgende belangrijke punt voor de gebruiker, zodra de keuze van de auto is gemaakt en het voertuig is toegewezen, is het bestuurders- en voertuigprofiel. De deskundigen evalueerden de beschikbaarheid van de naam van de chauffeur, de foto en de beoordeling van de chauffeur, informatie over de auto, informatie over het vervoersbedrijf, de datum van registratie van de chauffeur in het taxivervoer.
Net als in het vorige onderzoek is er nog steeds een aanzienlijke variatie in de mate van rijkdom van het profiel van de bestuurder tussen de apps, van de virtuele afwezigheid ervan in Poholy, Omega en TapTaxi, tot een volledige infokaart met foto in Yandex Go, DiDi en Gett.
De volgende belangrijke groep criteria voor de gebruiker is een reiswens. In het geval van een gebruiker met een klein kind, zware bagage of een dier is de aanwezigheid van geschikte filters zeer belangrijk. Uit het onderzoek blijkt dat het ontbreken van dergelijke filters in sommige apps nog steeds een probleem is. DiDi, Gett, TapTaxi en Uber hebben de minste mogelijkheden om een rit aan te vragen.
Bovendien werd de beschikbaarheid van de SOS-knop geëvalueerd: deze is beschikbaar in Omega, Pogeli, Yandex Go en maxim, alsook in DiDi en Citimobile. Met deze functie kunt u met één druk op de knop 112 bellen of uw locatie delen met vertrouwde contacten. Dit kenmerk kan voor sommige mensen doorslaggevend zijn bij het kiezen van een dienst.
In vergelijking met het vorige onderzoek is het merkbaar populairder om een bepaalde bestuurder toe te voegen aan de zwarte lijst de meesten doen dit door contact op te nemen met de klantenservice, maar er zijn er ook die een mogelijkheid bieden om de bestuurder rechtstreeks te blokkeren . De weergave van de gebruikersbeoordeling vergelijkbaar met die van de bestuurder is overwogen zonder beoordeling, alleen Yandex Go heeft het in het zicht van de passagier. Citymobile heeft een vergelijkbaar betekenisvol gebruikersaccount niveau.
Bij het onderzoeken van apps op veiligheid hebben deskundigen beoordeeld of de dienst alleen de minimaal vereiste gebruikersgegevens en machtigingen vraagt, en of de gebruiker het account kan verwijderen. De veiligheid van de gegevensoverdracht tussen de app en de gebruikersgegevens werd afzonderlijk geanalyseerd. Daartoe gebruikten zij gespecialiseerde software Wireshark om al het door de applicatie verzonden verkeer op te vangen en te analyseren op de aanwezigheid van niet-versleutelde gegevens. Het onderscheppen van verkeer werd door alle toepassingen met succes afgehandeld â er werden geen kwetsbaarheden vastgesteld.
Er is ook een nieuw criterium ingevoerd: de aanwezigheid van analytische trackers die informatie over de gebruiker verzamelen. Ze worden door ontwikkelaars toegevoegd met goede bedoelingen â om gebruikersgedrag te analyseren en deze informatie te gebruiken om de app te ontwikkelen. Gratis trackers van grote bedrijven zoals Facebook of Google brengen echter extra veiligheidsrisicoâs met zich mee: zonder toestemming van de gebruiker ontvangen de IT-giganten statistische gegevens. Daarom werd de aanwezigheid van dergelijke trackers in het onderzoek als een minpunt beschouwd. In de iOS-apps werden dergelijke modules niet ontdekt, terwijl de Android-apps op dit criterium lager scoorden.
Zestig procent van de toepassingen heeft een bankkaartbinding met het 3-D Secure protocol. Het is een code die in een sms wordt verstuurd en die de dienst nodig heeft om te controleren of de kaart echt van u is. In theorie kunnen cybercriminelen door het ontbreken ervan de kaart van iemand anders aan hun rekening koppelen en vervolgens betalingen verrichten met de gestolen kaart of gewoon door de gegevens ervan te achterhalen.
Bovendien testten de deskundigen van Roskatchestvo alle Android-toepassingen op de aanwezigheid van kwetsbaarheden en VOIâs met Solar appScreener door middel van een geautomatiseerde binaire analyse, zonder reverse-engineering decompilatie van de broncode . De volgende potentiĂ«le kwetsbaarheden werden vastgesteld: toegang tot DNS in 50% van de gevallen, onveilige reflectie werd ontdekt in 30% van de onderzochte toepassingen, onveilige native SSL-implementatie â 20%. Zwak hashing-algoritme in 80% van de onderzochte apps, gebruik van onveilig HTTP-protocol in 70%. SQLite database query injectie â 20%.
Naast de 20 bekende apps die in de studie zijn opgenomen, controleerden de deskundigen ook de beveiliging van 63 andere, minder populaire apps: 36 op Android en 27 op iOS, respectievelijk.
Op het iOS-platform hebben 6 applicaties waaronder NonStop: taxibesteldienst; Taxi Pobeda; DA TAXI Tyumen en Taxi Variant openlijk alleen de geolocatiegegevens van de gebruiker doorgegeven op het moment van bestelling. Op het Android-platform ziet de situatie er slechter uit â deskundigen hebben bijvoorbeeld 2 toepassingen geĂŻdentificeerd â âSV-TAXI. Bel een taxiâ en âUpTaxi alle steden â, die, naast de bovengenoemde geolocatiegegevens, de persoonlijke gegevens van de gebruiker in het publieke domein doorgaven. Telefoonnummer in het ene geval en referenties telefoonnummer en wachtwoord en apparaatmodel in het tweede geval, respectievelijk. Deze kwetsbaarheid kan niet alleen rechtstreeks gegevens in gevaar brengen, maar ook leiden tot nieuwe aanvallen van malafide gebruikers.
Ze identificeerden ook 3 Android-apps die ongecodeerde geolocatiegegevens van gebruikers verstuurden, namelijk Taxi Order GOST, My City en Taxi Saturn+. Zoals in het geval van iOS is deze kwetsbaarheid, hoewel niet kritiek, ongewenst vanuit het oogpunt van digitale veiligheid.
Een apart probleem op het Android-platform zijn overbodige of verborgen app-toegangen, die apps verborgen functies geven, en in sommige gevallen kunnen ze zelfs kwaadaardig zijn. Bijvoorbeeld, 17 van de 36 Android-apps hebben toegang tot het ontvangen van telefoonstatusgegevens, 8 van de 36 apps hebben toegang tot het bekijken van contacten, en 6 van de 36 apps hebben toegang tot het voeren van telefoongesprekken.
Een van de toepassingen waarvoor alle opgesomde redundante toegangen zijn aangevraagd is âSV-TAXI. Bel een taxiâ, âTaxi Nam Putiâ en Faem.Taxi. Roskatchestvo raadt het downloaden van dergelijke apps af.
Zij controleerden of het privacybeleid van applicaties voor het bestellen van taxiâs in overeenstemming was met de wet âinzake persoonsgegevensâ â 152-FZ van 27.11.2004 .07.2006 werden uitgevoerd door advocaten van de autonome non-profit organisatie âPravoRobotovâ. In het algemeen hebben alle onderzochte toepassingen vanuit juridisch oogpunt goede resultaten opgeleverd, met een score van 4 punten of meer. De uitzondering was Taxovichkof, wiens app ten tijde van het onderzoek geen link naar een privacybeleid had. Ten tijde van de publicatie van de studie was het probleem nog niet verholpen⊠Niettemin geven alle diensten, behalve Taxovichkof, gegevens door aan gelieerde derden.
De dekking van levens- en ziektekostenverzekeringen voor passagiers in passagierstaxiâs staat al een aantal jaren voortdurend in de belangstelling van zowel de overheid als het grote publiek. Als onderdeel van het onderzoek analyseerden Roskatchestvo en juristen van PravoRobotov verzekeringsinformatie in de relevante apps. Slechts drie daarvan CitiMobile, Yandex en Yahoo!.Taxiâ en Gett dienst verzekert de passagier automatisch tijdens de reis, waarbij de passagiersverzekering wordt uitbesteed aan een derde partij. Andere diensten schuiven op een of andere manier de verantwoordelijkheid voor noodgevallen op de schouders van chauffeurs en/of passagiers en dwingen hen te accepteren dat de vervoerder in feite âgeen vervoers- of logistieke diensten verleentâ en geen claims accepteert met inbegrip van dergelijke formuleringen in de Uber-dienst die eigendom is van Yandex .
Stanislav Shvagerus, hoofd van het competentiecentrum, internationaal Euraziatisch taxiforum.
âIn de Nederlands Federatie is de praktijk van passagiersverzekering vrijwillig en is in feite een concurrentievoordeel van de aggregator op de markt. Maar het vrijwillige karakter van een dergelijke verzekering houdt aanzienlijke risicoâs in voor taxipassagiers. Terwijl de verplichte verzekering duidelijk de procedure voor de uitkering bepaalt, wordt het bedrag van de verzekeringsuitkering zowel door de verzekeringswetgeving als door artikel 34 âAansprakelijkheid van de bevrachterâ van de federale wet van 8 november 2007 bepaald. N 259-fz âStatuut van het autovervoer en van het stedelijk, over de weg vervoerd elektrisch vervoerâ, dan worden, in geval van vrijwillige verzekering van de aansprakelijkheid van de aggregator, deze procedure en het bedrag van de betalingen bepaald door een overeenkomst tussen een verzekeraar en een aggregator. Vandaar extreem lage bedragen voor de reĂ«le vergoeding van schade aan leven en gezondheid van taxipassagiersâ
De zogenaamde âtweede echelonâ-aggregatoren, die hun aansprakelijkheid nog niet hebben verzekerd of âschadeloosstellingsfondsenâ hebben opgericht, vallen op. Dergelijke aggregators verklaren gewoonlijk in hun huishoudelijk reglement dat âzij niet verantwoordelijk zijn voor het door hen gesloten openbaar taxiverdrag en dat alle aansprakelijkheid ten aanzien van de passagier door de taxichauffeur wordt gedragenâ. Deze aggregatoren zien over het hoofd dat volgens artikel 37 âongeldigheid van overeenkomstenâ van de federale wet van 8 november 2007. N 259-FZ âStatuut van het autovervoer en het stedelijk elektrisch vervoer over de grondâ, zijn dergelijke documenten ongeldig.
De rechtspraktijk met betrekking tot de vergoeding van het leven en de gezondheid van taxipassagiers is uitgebreid en bestaat uit de massale aanvaarding van de aansprakelijkheid van taxibedrijven voor schade die passagiers van passagierstaxiâs op grond van een vervoersovereenkomst hebben geleden. Controleer of uw favoriete taxidienst veilig is en aan de wet voldoet?
Het onderzoek is uitgevoerd volgens de testmethode op basis van de voorlopige nationale norm voor vergelijkende tests van mobiele toepassingen PNST 277-2023.
Wat zijn enkele van de onveilige apps voor het bellen van taxiâs waarvoor Roskachestvo waarschuwt? En wat zijn de specifieke redenen waarom deze apps als onveilig worden beschouwd?