В Роскачестве рассказали об опасности мобильных приложений для заказа такси

Почти 76,7 процента таких приложений имеют серьезные проблемы с защитой персональных данных

Удобство использования сервисов для вызова такси сопровождается рисками, связанными с безопасностью и конфиденциальностью персональной информации. К такому выводу пришли специалисты по кибербезопасности Центра цифровой экспертизы Роскачества, проводившие исследование 30 мобильных приложений из соответствующей категории. Из них 23 запрашивали данные, многие из которых аналитики сочли избыточными и необоснованными. Результаты мониторинга есть в распоряжении «Парламентской газеты».

Что учитывали

Оценку того или иного приложения специалисты по кибербезопасности ставили на основе нескольких показателей. Это:

запрашиваемые доступы,
наличие трекеров активности,
безопасность передачи данных.

В программе Wireshark также анализировали весь трафик, пересылаемый приложениями. Затем выясняли, какие в нем незашифрованные сведения.

«Обнаруженные уязвимости рассматривали как потенциальные угрозы, что не исключает возможности использования их злоумышленниками», — рассказали «Парламентской газете» в пресс-службе Роскачества.

Главная задача трекеров — отследить действия пользователей для аналитики и улучшения продукта, объяснили нашему изданию в ведомстве. Однако данные из трекеров сначала приходят компании-разработчику программного обеспечения и только потом — создателям приложений. А это, по мнению специалистов, увеличивает риск утечки информации и требует от производителей особой внимательности при выборе поставщика аналитических инструментов.

Есть вопросы

Из 30 попавших в поле зрения приложений 11, в том числе BiTaksi и Taxsee, имеют встроенные трекеры от Google и несколько — от менее крупных компаний. А три из этих 11 также оснащены трекерами от Facebook*.

«Семь наиболее популярных приложений из рейтингов AppStore и Google Play, такие как Яндекс Go, Maxim и «Таксовичкоф», показали ожидаемо высокий уровень защиты: весь трафик был зашифрован, а запрашиваемые доступы минимальны и обоснованы», — следует из исследования Роскачества.

При этом 23 сервиса, то есть почти 76,7 процента, требовали значительно больше доступов, многие из которых аналитики считают лишними и необоснованными. Например, BiBi и AltoCar просили о возможности изменения или удаления данных на общем накопителе, Drivee — трансформации сетевых настроек, а Bolt — доступ к управлению NFC-модулем. Приложение «Такси Анжи» и вовсе хотело бы просматривать контакты без мотивации для этого.

Регион меньше — проблема больше

Особенно специалистов насторожили десять приложений, принадлежащих локальным таксопаркам и работающих в не самых крупных городах России. Среди них — «Такси Инфинити», «Такси «Белое», «Такси «Пилот», «Мегаполис».

«Все они имеют идентичные и серьезные проблемы с безопасностью и передают такие данные, как ID и ключ приложения, ID устройства, и другие параметры в незашифрованном виде», — пояснили «Парламентской газете» в пресс-службе Роскачества.

Благодаря этим критичным уязвимостям мошенники могут присоединиться к сессии пользователя без прохождения проверок и завладеть конфиденциальной информацией. Например, о маршрутах и времени передвижения, домашних адресах, способах оплаты и даже перепиской с водителями.

Аналитики обратили внимание еще на один важный момент. Приложения DiDi, TaxiF и inDrive из топ-чартов магазинов, которые были доступны для россиян, но уже удалены, сохраняются в рекомендациях и могут оставаться на устройствах пользователей. Однако при отсутствии обновлений нести потенциальные риски.

«Популярные приложения для заказа такси показали достойный уровень в вопросе безопасности передачи данных: они не требуют лишних доступов и не злоупотребляют трекерами, — подытожил руководитель Центра цифровой экспертизы Роскачества Сергей Кузьменко. — Однако на региональном уровне существует глобальная проблема — некий разработчик или конструктор, услугами которых пользуются таксопарки. Несмотря на то что в магазинах приложений они числятся за разными производителями, создавали их по одному шаблону, и они имеют одни и те же уязвимости».

Последние представляют серьезную угрозу конфиденциальности, подчеркнул собеседник «Парламентской газеты». Пользователям же посоветовал быть особенно осторожными при установке региональных приложений и внимательно следить за предоставляемыми доступами, а разработчикам — пересмотреть подходы к защите данных, чтобы исключить риски утечки личной информации.

* Деятельность компании Meta Platforms Inc. по реализации социальных сетей Facebook и Instagram признана экстремистской и запрещена на территории РФ.