После обнаружения в апреле этого года большого количества уязвимостей в мобильных приложениях для заказа такси, эксперты Роскачества провели дополнительную проверку данной категории.
Согласно опросу ВЦИОМ, проведенному в 2017 г., более 51% жителей крупных городов пользуются услугами такси. Объем рынка таксомоторных перевозок в России составляет свыше 570 млрд рублей, при этом треть заказов делается через мобильные приложения. Количество скачиваний и установок в данной категории приложений исчисляется десятками миллионов.
«Мобильные технологии произвели революцию на рынке такси. С появлением мобильных приложений для заказа такси конкуренция обострилась до предела, в связи с чем поездки стали куда дешевле, а время подачи машины сократилось в несколько раз. Однако есть и другая сторона медали – пропорционально снижению тарифов падают качество сервиса и безопасность перевозок. Пассажиры такси заинтересованы в повышении уровня качества и безопасности этих важных услуг», – говорит Илья Лоевский, заместитель руководителя Роскачества.
Роскачество проверило качество наиболее популярных мобильных приложений для заказа такси в российском сегменте магазинов App Store и Google Play – всего 40 приложений (19 для iOS и 21 для Android). В исследование вошли приложения сервисов, предоставляющие услуги по заказу такси эконом- или комфорт-класса (а также их аналогов).
Количество приложений, которые перешагнули итоговую отметку в 4 балла, составляет 22 из 40. Все они рекомендуются Роскачеством к использованию. Отметку в 3 балла преодолели все исследованные приложения.
Лучшими по совокупности всех критериев признаны приложения «Яндекс.Такси», Uber Russia и Gett на iOS и «Яндекс.Такси», «Ситимобил» и Uber Russia на Android.
Конечно, основная задача приложений по заказу такси – это обеспечение возможности заказа такси из точки А в точку Б, однако Роскачество оценило приложение на соответствие многим другим, не менее важным требованиям.
Функциональность
Оценивая функциональность мобильных приложений, мы проверили наличие и полноту информации в карточках водителей. Минимальный балл по этому критерию (1 из 5) получили приложения «Rutaxi Онлайн», «Везёт (Rutaxi)» и «Такси Престиж Эконом» на iOS и «Рутакси», «Везёт (Рутакси)», «Такси Престиж Эконом» и «Такси Бонус» на Android, так как в большинстве случаев их клиенты не видят имя и фамилию водителя, его рейтинг и информацию о компании-перевозчике.
Комментарии для водителя при заказе такси отсутствуют у приложений Bolt (Taxify), «Rutaxi Онлайн», «Такси Престиж Эконом» и «Мегаполис» как на iOS, так и на Android, за что все они получили 0 баллов при оценке этого критерия.
Критерий «Связь с водителем» подразумевает возможность связаться с ним после оформления заказа, не выходя из мобильного приложения, выбрав при этом наиболее удобный канал связи (по телефону / при помощи чата). Также проверялась возможность связи с водителем в течение 24-х часов с момента завершения поездки на случай, если вы, например, что-то забыли в салоне такси. Максимальный балл по этому критерию получили приложения «Яндекс.Такси», maxim и «Поехали». Остальные приложения, как правило, не позволяют писать водителю в чате.
Отслеживание поездки на карте имеется во всех приложениях. Максимальный балл (5 из 5) получило 40% исследованных приложений, так как они позволяют поделиться ссылкой с другими людьми для отслеживания перемещения такси на карте – это повышает безопасность поездки.
Стоит отметить, что в исследовании не рассматривалась функциональность, связанная с заказом премиум-такси.
По результатам тестирования наиболее функциональные приложения как на iOS, так и на Android – «Яндекс.Такси» (4,79), «ТаксовичкоФ» (4,76), maxim (4,51) и «Поехали» (4,51).
Удобство использования
Помимо функциональности приложения, также крайне важным является и удобство пользования. Оно оценивалось экспертами по 10 параметрам, таким как «Простота и качество навигации», «Помощь в приложении», «Адаптация для людей с ограниченными возможностями» и другим.
При оценке простоты пользования эксперты определяли, насколько легко при первом знакомстве с программой понять, как реализована функциональность приложения, а также подсчитывали минимально необходимое количество кликов для выполнения ключевых сценариев программ (построение маршрута при помощи карты, возможность не указывать адрес при заказе, отображение оставшегося времени поездки, отображение доступных автомобилей на карте и др).
Что касается адаптации для людей с ограниченными возможностями, то эксперты проверяли поддержку динамического (увеличенного) шрифта и функций программ чтения экрана VoiceOver / Talkback. По итогам проверки максимальный балл получило приложение maxim на Android, у остальных приложений либо полностью отсутствовала поддержка функций чтения экрана VoiceOver /Talkback, либо была реализована частично. Узнать другие критерии вы можете на портале Роскачества.
Наиболее удобные на iOS – «Яндекс.Такси» (4,57), «ТаксовичкоФ» (4,37) и Gett (4,34). На Android – «Яндекс.Такси» (4,72), «Ситимобил» (4,72) и Uber Russia (4,72).
Безопасность
Крайне важная группа показателей, потому как данная категория мобильных приложений включает в себя сбор и хранение личных данных, а также онлайн оплату услуги.
Одним из ключевых критериев в данной группе является безопасность передачи пользовательских данных. Если приложение передает пользовательские данные (ФИО, контактные данные, платежные и регистрационные данные (логин, пароль), геоданные и др.) в незашифрованном виде, этой уязвимостью могут воспользоваться злоумышленники и перехватить конфиденциальные данные.
Это особенно опасно при использовании публичного Wi-Fi (например, в ресторане). Злоумышленник может создать сеть с похожим названием, и жертва по ошибке подключится именно к ней, неосознанно направляя хакеру свои данные. Или же сеть может принадлежать кафе или отелю, вы к ней подключаетесь, а злоумышленник осуществит перехват данных посредством атаки Man-in-the-Middle («человек посередине»), если между клиентом и сервером нет стойкого шифрования. Не используйте мобильные приложения с уязвимостями, особенно подключаясь к публичной сети.
Эксперты с помощью специализированного ПО (Wireshark) производили захват всего трафика, который пересылает исследуемое приложение, а затем анализировали его на наличие как незашифрованного контента, так и незашифрованных пользовательских данных. Большинство приложений, а именно – 75%, получили по данному критерию самый высокий балл. Это значит, что все данные пользователя передаются с использованием алгоритмов шифрования. Наименьший результат (1 из 5) по данному критерию у приложения «Масани» (как на iOS, так и на Android) – оно передает в незашифрованном виде геоданные, номер мобильного телефона с пинкодом и комментарий к заказу. Также низкий балл (1,5 из 5) у приложений – inDriver, «Такси 777» и «Ангел» на iOS и у «Ангел» на Android – в незашифрованном виде передается номер мобильного телефона с паролем и геоданные. 3 балла по критерию передачи пользовательских данных получили «ТаксовичкоФ» на iOS и «ТаксовичкоФ», «Везёт» (Рутакси) и Taxi Seven на Android – эти приложения передают геоданные в незашифрованном виде.
Эксперты отметили, что платежные данные во всех проверенных приложениях передаются с использованием платежных шлюзов, что обеспечивает им высокую степень безопасности.
Отсутствие шифрования картинок и метаданных устройства было выявлено у приложения Gett на Android (оно получило 3 балла из 5). 4 балла получили «Поехали: заказ такси», «Такси 777», «Такси Престиж Эконом», «Масани» и «Мегаполис» на iOS и ТасковичкоФ, «Такси Престиж Эконом», «Масани», «Мегаполис» и «Такси Бонус» (отсутствует шифрование или передаваемых картинок, или метаданных устройства). Незашифрованный контент при передаче возможно подменить исполняемым файлом, при открытии которого может быть выполнена вредоносная программа. Таким образом, что мало вероятно, но тем не менее возможно, при желании и определенных навыках злоумышленник может получить контроль над устройством. Более того, отсутствие шифрования делает устройство уязвимым для атак.
Приложения проверялись на наличие уязвимостей с помощью специализированного инструмента Solar appScreener. Среди наиболее часто встречающихся потенциальных уязвимостей – слабый алгоритм хеширования и шифрования, небезопасная реализация SSL, небезопасное хранение данных. Те же самые уязвимости были выявлены и во время исследования в апреле.
«Все обнаруженные в приложениях уязвимости в конечном счете могут привести к различным сценариям взлома с целью манипуляции обрабатываемыми данными. В качестве примера вспомним нашумевшую в 2016-м году историю с одним из популярных мобильных приложений по заказу такси, которое было взломано таксистом с целью получения приоритета при распределении заказов. Соответственно, при заказе такси через приложение следует обращать внимание не только на качество предоставляемых перевозчиком услуг, но и на уровень безопасности самих мобильных приложений. Используя слабозащищенные приложения, пользователь сам ставит под удар свои конфиденциальные данные», – подчеркнул Даниил Чернов, руководитель направления Solar appScreener компании «Ростелеком-Солар».
Запрос только необходимых разрешений также является одним из важных критериев оценки. 93% приложений получили 5 баллов. Приложения Gett, «Такси Престиж Эконом» и «Такси Бонус» на Android запрашивали доступ к контактам, который эксперты сочли чрезмерным. Это не является критичным несоответствием требованиям, однако данный факт не позволил им получить максимальный балл.
Активное согласие на обработку и хранение персональных данных запрашивают только приложения «Такси Престиж Эконом», XTaxi и «Мегаполис такси» на iOS и «Такси Престиж Эконом» и «Мегаполис такси» на Android. Согласие и вовсе отсутствует у приложений «Яндекс.Такси», «Такси 777», «Масани», TaxiSeven и «Ангел» на iOS. На Android также не запрашивали согласие следующие приложения: «Такси 777», Taxi Seven, «Ангел» и «Такси Бонус».
Удаление аккаунта реализовано только в «Яндекс.Такси» и «Uber Russia», остальные приложения по данному критерию получили 0 баллов.
Сведения о страховании пассажиров во время поездки были указаны в 55% оцениваемых приложений: «Яндекс.Такси», Gett, Bolt, Maxim, «Ситимобил», Rutaxi, Uber Russia, inDriver, «Везет», «Поехали» и «Такси 777». Остальные 45% приложений таких данных не имеют.
Наиболее безопасные приложения (с точки зрения информационной безопасности) на iOS – Uber Russia (4,80), «Яндекс.Такси» (4,50), Gett (4,40), «Rutaxi Онлайн» (4,40) и «Везёт (Rutaxi)» (4,40). На Android – «Яндекс.Такси» (4,80), «Uber Russia» (4,43), «Рутакси» (4,40) и inDriver (4,40).
Помимо функциональности, удобства пользования и безопасности, эксперты Роскачества оценивали производительность и надежность мобильных приложений. Наивысший балл по производительности на iOS получили приложения – «Rutaxi Онлайн» и «Такси Престиж Эконом» – по 4,91 балла каждый, на Android максимальный балл только у «Рутакси» – 5 баллов.
Исследование проведено в соответствии с методикой испытаний, базирующейся на предварительном национальном стандарте на сравнительные испытания мобильных приложений ПНСТ 277-2018, и призвано помочь потребителям в выборе максимально функционального, безопасного и удобного мобильного приложения для заказа такси.
«Мы рады, что Роскачество обратило внимание на такую важную часть жизни людей как заказ такси. Радует, что большинство приложений получили оценку в четыре балла. Это говорит о том, что в России сама технология заказа такси находится на высоком уровне. Что касается функциональности, особенно радует, что сервисы, которые были основаны в России, получили высокий рейтинг. Мы будем рекомендовать агрегаторам сделать услугу заказа такси доступной и для людей с ограниченными возможностями передвижения. Чтобы человек мог заказать такси с пометкой, и к нему приезжал специализированный автомобиль. Тогда бы мы сравнялись с ведущими европейским странами по части доступной среды.
И особо хочется отметить Роскачество за их непредвзятость и основательный подход при проведении исследования. Общественный Совет по развитию такси представит данное исследование профессиональному сообществу. Рекомендации Роскачества мы обязательно направим агрегаторам такси, с которыми взаимодействуем в рамках отраслевых мероприятий», – отметила Ирина Зарипова, Председатель Общественного Совета по развитию такси.