Роскачество назвало лучшие приложения для вызова такси
Организация назвала софт Яндекс Go, "Таксовичкоф", "Ситимобил" и Maxim лучшими по совокупности всех критериев
МОСКВА, 22 марта. /ТАСС/. Роскачество исследовало приложения для вызова такси. По мнению специалистов, софт Яндекс Go, "Таксовичкоф", "Ситимобил" и Maxim стали лучшими по совокупности всех критериев.
Роскачество протестировало 22 приложения: по 11 для iOS и Android. Дополнительно эксперты проанализировали на безопасность малопопулярные приложения для заказа такси за скобками основного рейтинга. Среди более 100 исследованных таким образом программ были найдены небезопасные.
"Пятерка лидеров в этом году изменилась не сильно: в нее вошел "Таксовичкоф", в прошлом исследовании занимавший только 7 место, а "серебряный призер" 2019 года Uber, наоборот, из лидеров выпал. Также в позиции понизился Gett до 5-й позиции на обеих платформах. Лучшими по совокупности всех критериев признаны приложения "Яндекс Go", "Таксовичкоф" и "Ситимобил" на Android, на iOS - "Яндекс Go", Maxim и "Таксовичкоф", - говорится в сообщении Роскачества.
Во время исследования специалисты использовали приложения как рядовые пользователи: заказывали и передвигались на такси, анализировали работу приложения и его функциональные возможности, добавляли адреса в избранное и пожелания к заказам, изучали профили водителей (информацию о водителях, машинах, компании-перевозчике) и так далее. Также проводился дополнительный тест приложений на безопасность с использованием специализированного ПО. Испытания проводились по 139 критериям, были проверены все ключевые функции, оценены удобство, информационная безопасность, производительность и надежность приложений заказа такси.
При выставлении оценок приложениям учитывались результаты глубинных интервью с пользователями такси, проведенные специалистами Роскачества, и семантический анализ более 900 отзывов в App Store и Google Play Маркете.
Функциональные возможности
По результатам тестирования наиболее функциональные приложения - "Яндекс Go", "Таксовичкоф" и "Поехали" на Android, "Яндекс Go", "Таксовичкоф" и Gett на iOS. При этом специалисты Роскачества сообщили, что у приложений есть недоработки функциональных возможностей. В частности, у Didi на карте не отображаются здания (в версии, которая вышла уже после завершения исследования, это было исправлено), у "Рутакси" - местоположение пользователя. Gett, Didi и Bolt не дают возможности заказать автомобиль для другого человека, Didi и Bolt также не позволяют указать подъезд при заказе.
"Gett - единственное такси без возможности указать промежуточные остановки. Gett, Bolt и Uber не позволяют заказать второй автомобиль. "Поехали" и Didi не позволяют просмотреть недавние адреса. Аутсайдерами при оценке карточек стали "Везет" и "Рутакси", у которых карточка водителя, по сути, отсутствует, и есть информация только об автомобиле. Фото и рейтинг водителя есть менее чем у половины приложений", - сообщили в ведомстве.
У Didi отсутствует функция оставить пожелания к заказу. Возможность попросить водителя о помощи при посадке есть только у Maxim, "Поехали" и "Таксовичкоф" - это особенно важно для маломобильных пассажиров. Также стоит отметить отсутствие у половины сервисов возможности указать наличие багажа или необходимость свободного пространства под его размещение.
По данным Роскачества, функция связи с водителем (до посадки) и уведомления о прибытии автомобиля реализованы как базовые функции у всех приложений, но оповещение водителя со стороны пассажира о своем выходе уже оказывается более редким (есть только у 45% приложений). Важная для безопасности пассажиров возможность поделиться ссылкой на поездку с третьими лицами присутствует почти у всех приложений - кроме "Ситимобил", Gett и "Рутакси". Менее чем у половины приложений можно изменить способ оплаты во время поездки, у остальных это можно сделать только до момента заказа.
"Самой редкой функцией в группе оказалась SOS-кнопка: она есть только у "Яндекс Go", Didi и Bolt. Эта функция позволяет одним нажатием набрать номер 112 либо передать данные о своем местоположении доверенным контактам. Изменить маршрут уже после начала поездки позволяют все сервисы, кроме "Рутакси" и "Таксовичкоф", - добавили в ведомстве.
Удобство использования и информбезопасность
Помимо функциональности, эксперты проверяли удобство пользования приложений, специалисты ведомства провели юзабилити-тестирование приложений с привлечением более 180 рядовых пользователей. Удобнее всего пользователям было взаимодействовать с приложениями Uber и "Яндекс.Go". Помощь в приложении в полном объеме реализована только у "Яндекс.Go" и Uber (чат или форма обратной связи, справка по использованию сервиса, возможность сделать звонок в службу поддержки).
Адаптация для людей с ограниченными возможностями (поддержка динамического шрифта и программ чтения экрана VoiceOver / Talkback) в полном объеме присутствует только у "Таксовичкоф" на Android. У приложений на iOS в целом по данному критерию оценки традиционно хуже из-за технических особенностей платформы, 4 балла набрал только "Ситимобил".
Для того, чтобы проверить безопасность передачи данных, эксперты производили захват всего трафика, который пересылает приложение, с помощью специализированного ПО (Wireshark), а затем анализировали его на наличие незашифрованных данных. С перехватом трафика успешно справились все приложения, кроме Android-версий Didi и "Везет". "Didi передает в незашифрованном виде картинки приложения (контент), а "Везет" - координаты пользователя и адрес назначения, что уже гораздо серьезнее. Потенциально, перехватив эти данные, мошенник может проследить путь до адреса назначения жертвы и в дальнейшем использовать эту информацию для целевых атак", - поясняют эксперты.
У всех приложений, кроме Didi, Bolt и Uber, привязка банковской карты осуществляется по протоколу 3-D Secure. В этом году все приложения оказались безопасными и надежными, 73% сервисов на iOS и Android набрали 4 балла и выше. У Didi и Bolt на обеих платформах оценка была снижена за избыточный запрос данных при регистрации.
"Дополнительно эксперты Роскачества провели проверку всех приложений на Android анализатором на наличие уязвимостей Solar appScreener при использовании технологии автоматического бинарного анализа, без осуществления реверс-инжиниринга (декомпиляции исходного кода). В итоге были выявлены следующие потенциальные уязвимости: небезопасная собственная реализация SSL у 54%, небезопасная рефлексия у 81%, использование незащищенного протокола HTTP у 90%, слабый алгоритм хеширования у 72%, слабый алгоритм шифрования у 9%, внедрение в запрос к базе данных SQLite у 18%, обращение к DNS у 90%", - добавили в Роскачестве.
Критические вопросы
Ведомство дополнительно к вошедшим в исследования 22 известным приложениям также проверило на безопасность еще около сотни менее популярных приложений (65% из них было для Android). По словам руководителя Центра цифровой экспертизы Роскачества Антона Куканова, как минимум в пяти программах была выявлена незащищенная передача координат пассажира, в некоторых случаях к этому добавлялся номер и модель телефона или даже личные данные пользователя.
"Незашифрованный номер телефона (у "Такси Сатурн", RED TAXI, UpTaxi, "Заказ такси ГОСТ") - потенциальная уязвимость, так как, перехватив данные, злоумышленник получит к нему доступ. Личные данные (у "Такси Сатурн") - это связка номера телефона и имени, что является весьма чувствительной информацией. Координаты (у X-Car , "Таксик", "НонСтоп", UpTaxi и SV-TAXI) - при наихудшем сценарии злоумышленник может получить координаты назначения, но в основном передаются координаты настоящего местонахождения. Все эти уязвимости могут оказаться входом в периметр безопасности приложения и несут в себе потенциальные угрозы", - поясняют в ведомстве.
Проверку на соответствие политик конфиденциальности приложений заказа такси требованиям закона "О персональных данных" провели юристы Автономной некоммерческой организации "ПравоРоботов". По данным ведомства, политика сервиса Bolt имеет указание на передачу данных третьим лицам, помимо требований установленных законодательством и аффилированных лиц, при этом перечень самих третьих лиц не приводится. А в политике Uber отсутствует информация об обрабатываемых персональных данных. Также стоит обратить внимание на автоматическое согласие пользователей на получение рекламных рассылок (например, у Maxim и "Таксовичкоф").
Gett собирает даже такую информацию, как производительность аккумулятора и сети (например, состояние аккумулятора и использование зарядного устройства), а также имена файлов, типы и размеры файлов на вашем устройстве, включая количество свободного и используемого пространства на локальном запоминающем устройстве, а в политиках конфиденциальности всех сервисов, кроме "Таксовичкоф", имеется указание о передаче данных пользователей третьим лицам.
"Исследование показало, что, помимо своих прямых обязанностей по обеспечению перевозки граждан, ряд сервисов собирает избыточное количество данных, напрямую не связанных с деятельностью по заказу такси. Некоторые сервисы еще и делятся вашими данными с третьими лицами, в том числе - с иностранными. В связи с этим, любому пользователю важно помнить, что даже в самых неочевидных ситуациях конфиденциальность ваших персональных данных может быть под вопросом", - сказал гендиректор АНО "ПравоРоботов" Никита Куликов.