Roskatchestvo onderzocht apps waarmee mensen fietsen en scooters kunnen huren.

Acht fietsverhuur apps en 27 kickshare apps op beide mobiele platforms werden onderzocht: Bike&Go, BikeMe, Bumerang Lifcar , BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Almetyevsk, GreenBee, lite, LuckyBike, Matur.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamokat, VeloBike, Velobike Multi-City, Green City, Carrousel, Citimobile.

Hoeveel fietsen en scooters zijn er te huur in Nederland??

Scooterverhuurmarkt in Nederland groeit snel. Tegen het einde van het jaar zal het naar verwachting met 300% stijgen: 10 miljard roebel. Terwijl er begin 2023 in Nederland niet meer dan 10 duizend scooters waren, zijn er volgens april van dit jaar al ongeveer 85 duizend onder alle fietsers en dat is niet de limiet. Grote bedrijven als Yandex, mail, MTS en Sberbank hebben het voornemen te investeren in mobiele microvervoersdiensten. Urent en Whoosh zijn goed voor het overgrote deel van het vervoer – ongeveer 60.000 scooters.

De fietsverhuurmarkt ontwikkelt zich langzamer: in het najaar van 2023 waren er in Amsterdam 662 fietsverhuurpunten met 6,5 duizend fietsen. 67 nieuwe verhuurstations en 1.000 nieuwe fietsen komen er dit voorjaar bij, waarvan de helft elektrisch. Dit is al vergelijkbaar met steden als Londen 18 duizend of New York 8 duizend . Dit jaar begon het fietsverhuurseizoen een maand eerder dan normaal, begin april. Het ministerie van Vervoer in Amsterdam verklaarde dit door het feit dat in een pandemisch jaar de fietsverhuurdienst via de app zeer populair was geworden bij het publiek meer dan 8 miljoen ritten .

Terwijl de verkeerspolitie een stijging van het aantal ongevallen met micromobiele voertuigen vaststelt, overweegt de regering scooters gelijk te stellen met voertuigen om de snelheid te beperken en zo het aantal slachtoffers te verminderen. Er zijn echter steeds meer gebruikers van verhuur-apps. Roskatchestvo heeft de informatiebeveiliging van dergelijke apps beoordeeld en gewaarschuwd voor risico’s.

De meeste fietsverhuur- en kickshare-diensten werken volgens hetzelfde ongecompliceerde schema:

– U moet de mobiele app downloaden en het registratieproces doorlopen.

– Een betaalmethode en tarief kiezen, indien de dienst daarin voorziet.

– Vind de dichtstbijzijnde basis of scooter op de kaart.

– Benader het voertuig en activeer het door de instructies in de app te volgen.

Bij het controleren van de informatiebeveiliging van kickshare- en fietsverhuurdiensten heeft Roskatchestvo, samen met juristen van PravoRobot, ook hun privacybeleid geanalyseerd. In totaal werden 68 apps 34 voor zowel iOS als Android geëvalueerd. De studie omvatte apps die op het moment van de test micromobiele verhuur aanbieden, waarbij werd gekeken naar zowel grootstedelijke als regionale diensten.

De veiligheid van de apps werd beoordeeld aan de hand van acht criteria:

Verzoek om minimaal vereiste gebruikersgegevens

Het aanvragen van de nodige toestemmingen

Beveiliging van de overdracht van app-gegevens

Beveiliging van de overdracht van gebruikersgegevens

Toestemming voor gegevensverwerking en -opslag

Link naar privacybeleid

Complexiteit van het wachtwoord

Verwijdering van een rekening

De Android-apps werden ook gecontroleerd op mogelijke kwetsbaarheden met behulp van de Solar appScreener vulnerability analyzer. Een groot deel van de app heeft een soortgelijke architectuur, waarbij alleen het ontwerp en de inhoud veranderen.

Complexiteit van het wachtwoord

Op twee na hebben alle onderzochte fietsverhuurdiensten toegang tot de app via eenmalige sms-codes, wat de veiligheid verhoogt en het risico uitsluit dat andere mensen een fiets of scooter huren onder een account van een derde partij. Alleen VeloBike – Moscow City Bicycle Rental en Velobike Multicity lieten een lager veiligheidsniveau zien. Deze apps sturen een eenmalige login en PIN, die niet verandert na verloop van tijd. Wanneer een fraudeur de login en het wachtwoord heeft verkregen, kan hij de dienst voor eigen doeleinden gebruiken, bijvoorbeeld om met de gekoppelde kaart van iemand anders te reizen of zelfs om een voertuig te stelen, waarna de dienst de rekeninghouder zal ondervragen: hij zal moeten bewijzen dat hem geen schuld treft. Bijvoorbeeld, als de fiets niet wordt teruggebracht na 48 uur verhuur,

“Velobike” geeft een boete van 30 duizend roebel aan de rekeninghouder. Vergelijkbare sancties zijn van kracht voor andere fietsverhuur apps.

Alleen de minimaal vereiste gebruikersgegevens opvragen

Bij het inloggen op een online fietsverhuurdienst zijn we geneigd het absolute minimum aan persoonlijke gegevens in te voeren, maar in het geval van een verhuurdienst worden in 21% van alle apps uitgebreide gegevens gevraagd. Met name Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamocat, Bike&Go vereisen een voor- en achternaam. E-motion was de enige app die bij registratie om een paspoort- of rijbewijsfoto vroeg deze stap kan echter tijdens de registratie worden overgeslagen zonder zichtbare gevolgen .

Vraagt alleen noodzakelijke toestemmingen

De informatiebeveiliging van de app wordt grotendeels bepaald door de toegangen. Slechts twee zijn nodig om de micromobiel verhuur app volledig te laten werken: locatie aanvraag en camera toegang om een QR code te scannen . Alle andere toegangen in de studie werden als overbodig beschouwd. BusyFly had het hoogste aantal redundante toegangen: telefoongesprekken voeren, slaapstand uitschakelen en opstarten wanneer het apparaat wordt ingeschakeld. BikeMe zoekt naar accounts op het apparaat, terwijl ScooBee toestemming vraagt om boven alle vensters te verschijnen – dit is een van de gevaarlijkste toegangen. 85% van de geanalyseerde apps op het Android-platform vraagt geen redundante toegang, op iOS ligt dit cijfer nog hoger door de eigenaardigheden van het besturingssysteem zelf.

Een rekening verwijderen

Geen van de onderzochte apps, behalve Whoosh, laat toe je account te verwijderen met de functie die in het programma geïmplementeerd is. Dit kan echter worden gedaan door contact op te nemen met de dienst. Ontwikkelaars van Eleven service beloofd Roskachevo om optie voor het verwijderen van accounts toe te voegen in volgende updates.

Beveiligde gegevensoverdracht

Tijdens het onderzoek analyseerde Roskatchestvo gegevens die door apps werden verzonden, waarbij het verkeer met behulp van gespecialiseerde software werd onderschept. Drie apps hebben systeemgeolocatiegegevens in het publieke domein: “lite – ride here, ride now”, “Green City” en “Matur.stad”. Het is mogelijk om desgewenst de huidige locatie van een gebruiker op deze manier te traceren, maar meestal stuurt iemand geolocatiegegevens door wanneer hij een scooter of fiets huurt, terwijl hij in de open lucht is. Dit minimaliseert het risico dat een aanvaller zich in het kanaal nestelt en de verzonden gegevens manipuleert. Belangrijker is dat alle toepassingen een veilige overdracht van gebruikersgegevens aantoonden. Persoonlijke en betalingsgegevens zijn dus veilig bij het gebruik van de door Roskachevo onderzochte apps.

Toestemming voor gegevensverwerking en -opslag

De toestemming van de gebruiker om zijn gegevens te delen en te verwerken is het belangrijkste beginsel bij het aanbieden van moderne onlinediensten. Alle 100% van de onderzochte apps vroegen om een vorm van toestemming, maar slechts 24% vroeg om actieve toestemming.

Kwetsbaarheden in apps voor online scooter- en fietsverhuur

De deskundigen beoordeelden ook potentiële kwetsbaarheden en ongedocumenteerde mogelijkheden van toepassingen met behulp van gespecialiseerde Solar appScreener-software. De belangrijkste en meest voorkomende potentiële kwetsbaarheid is het gebruik van een onveilig HTTP-protocol voor 90% van de Android-apps , vergelijkbaar met onveilige native SSL-implementaties 34% . SQLite database query werd opgelost voor 22% van de toepassingen, DNS query werd opgelost voor 82%. Het versleutelingsalgoritme in de meeste apps is goed geïmplementeerd: slechts 12% van de onderzochte apps vertoont potentiële kwetsbaarheden.

Daniil Chernov, directeur van Solar appScreener-centrum bij Rostelecom Solar.

“Mobiele verhuurapps voor fietsen en scooters met weinig beveiliging kunnen een grote hoeveelheid gevoelige gebruikersgegevens in gevaar brengen. Dit kunnen uw volledige naam, telefoonnummer, e-mail, geolocatie, creditcardnummer enz. zijn. De bescherming van deze gegevens valt onder de verantwoordelijkheid van de ontwikkelaars. Onderzochte populaire Nederlands diensten vertoonden een hoog veiligheidsniveau. Vergeet niet dat elke nieuwe versie van de app een analyse vereist van de kwaliteit van de programmacode en de veiligheid ervan

Juridische beoordeling

Het privacybeleid van alle apps kreeg redelijk hoge scores. Van de nadelen vermelden niet alle toepassingen in het document informatie over de opslag van gegevens in Nederland – dit ontbrak voor 9% van de toepassingen, waaronder MOLNIA, VEZU en Red Wheels. De ontwikkelaar moet ook alle identificatiegegevens van derden in de polis opnemen, waaronder hun naam TIN of PSRN, maar deze gegevens ontbreken in 53% van de gevallen. Bike&Go en GoBike hebben een grensoverschrijdende overdracht van persoonsgegevens. Bij GreenBee, Green City en Seagull is de eigenaar van alle via de dienst verkregen persoonsgegevens een IE. En Velobike verbiedt officieel het gebruik van een huurfiets als bijdrage aan zakelijke partnerschappen en bedrijven.

Nikita Kulikov, directeur-generaal, ANO PravoRobotov

“Gebruikers van welke dienst dan ook moeten zich ervan bewust zijn dat al hun handelingen met apps, zelfs zoiets kleins als het ontgrendelen van een fiets of scooter, een digitale voetafdruk en bepaalde gevolgen hebben. Bijna alle apps delen uw gegevens dus met derden, zij het anoniem. In elk geval moet de gebruiker zich houden aan de algemene veiligheidsbeginselen: opletten voor de toegang die de app vereist, alleen het noodzakelijke minimum aan gegevens over zichzelf verstrekken. U mag geen scans van documenten verzenden of betalingsgegevens toevoegen aan verdachte toepassingen waarvan u niet zeker weet of ze veilig zijn”.

De conclusies van de studie deelt het hoofd van het Center for Digital Expertise Roskachestvo Anton Kukanov:

“De onderzochte apps voor fiets- en scooterverhuur zijn voor het grootste deel op een hoog niveau geïmplementeerd en bleken even veilig te zijn”. Geen van de opmerkingen die uit hun analyse naar voren komen, heeft invloed op de directe gebruikerservaring. Het enige punt van aandacht is de onveranderlijke gebruikersnaam en PIN, die in theorie kunnen worden gebruikt voor ongeoorloofde toegang.”.

Conclusies en aanbevelingen

De meeste onderzochte apps voor scooter- en fietsverhuur zijn op een hoog niveau geïmplementeerd. Vrijwel geen van de opmerkingen die naar aanleiding van deze analyse kunnen worden gemaakt, zijn van invloed op de directe gebruikerservaring. Het enige niet-kritische punt van aandacht gezien de omvang van de dienst is het niet veranderen van een login en PIN-code, die in theorie kunnen worden gebruikt voor ongeoorloofde toegang in Amsterdam City Bike Rental en zijn variant Multicity . Alle apps werden even veilig bevonden, er werden geen onveilige apps geïdentificeerd.

Over het algemeen is er weinig risico bij het gebruik van apps voor fiets- en scooterverhuur. Toepassingen van grote spelers op de markt worden door Roskachevo aanbevolen voor gebruik. Wees echter voorzichtig met het downloaden van apps van weinig bekende diensten en let in ieder geval altijd op de toegangen die ze vereisen bij de installatie. Wanneer u een dienst kiest, houd er dan rekening mee dat ze hun eigen dekking en parkeerplaatsen hebben, wat belangrijk is bij het plannen van een route.