В современном мире мобильные приложения для такси стали неотъемлемой частью повседневной жизни. Однако, как показало исследование Центра цифровой экспертизы Роскачества, не все такие сервисы обеспечивают должный уровень защиты пользовательских данных. В ходе анализа было протестировано 30 популярных приложений, и результаты показали значительные различия в уровне их безопасности.
Для определения уровня защиты приложений специалисты ориентировались на несколько ключевых параметров. Во-первых, проверялись запрашиваемые разрешения — насколько они необходимы для работы приложения и не требуют ли доступов, которые могут быть избыточными. Во-вторых, особое внимание уделялось наличию трекеров активности, которые могут передавать информацию о действиях пользователя сторонним компаниям. И, наконец, безопасность передачи данных между устройством и серверами приложения — важный аспект для предотвращения утечек конфиденциальной информации.
Из 30 протестированных приложений, 11, таких как BiTaksi и Taxsee, включали в себя трекеры от Google и других сторонних компаний, а три из них также содержали трекеры Facebook. Однако самую высокую оценку по безопасности получили такие популярные сервисы, как «Яндекс Go», Maxim и «Таксовичкоф». Все они показали высокий уровень защиты пользовательских данных: трафик полностью зашифрован, а количество запрашиваемых доступов сведено к минимуму и является оправданным для нормальной работы приложений.
В то время как лидеры индустрии демонстрируют высокий уровень безопасности, другие приложения вызывают больше вопросов. Например, «BiBi такси» и AltoCar запрашивают доступ к изменениям или удалению данных на общем накопителе устройства, что кажется избыточным для их функционала. Drivee, в свою очередь, требует доступ к настройкам сети, а Bolt — к управлению NFC-модулем.
Самый настораживающий пример — это приложение «Такси Анжи», которое требует доступ к контактам пользователя, не предоставляя при этом ясного объяснения необходимости таких прав. Такие требования могут представлять угрозу для конфиденциальности пользователей, особенно если разрешения используются в целях, не связанных с основной функцией приложения.
Особое внимание экспертов привлекли десять региональных приложений, таких как «Такси Инфинити», «Такси Белое» и «Такси Пилот». Эти сервисы, работающие в небольших городах России, продемонстрировали серьезные проблемы с безопасностью. Они передают данные, такие как ID приложения и устройства, в незашифрованном виде, что открывает двери для злоумышленников. Используя эти уязвимости, хакеры могут получить доступ к конфиденциальной информации: маршрутам поездок, домашним адресам, способам оплаты и даже переписке с водителями.
Такие слабые места в защите данных могут привести к серьезным последствиям, вплоть до кражи личной информации или мошеннических действий с финансовыми данными пользователей.
Исследование также выявило еще одну важную тенденцию. Несмотря на удаление из магазинов приложений таких сервисов, как DiDi, TaxiF и inDrive, они все еще могут оставаться на устройствах пользователей. Это создает дополнительные риски, поскольку отсутствие обновлений безопасности делает эти приложения уязвимыми для атак. Рекомендации на различных ресурсах продолжают упоминать эти сервисы, что может вводить пользователей в заблуждение и побуждать их использовать устаревшие версии приложений.