Роскачество выбрало самые безопасные приложения для заказа такси



    Роскачество опубликовало результаты исследования мобильных приложений для заказа такси. Эксперты проверили 40 наиболее популярных мобильных приложений, которые доступны для скачивания в App Store и Google Play в России. Роскачество оценивало приложения по таким параметрам, как функциональность, удобство и безопасность.

    В исследование вошли приложения сервисов, предоставляющие услуги по заказу такси экономического или комфорт-класса (а также их аналогов) как минимум в Москве или Санкт-Петербурге и имеющие на момент тестирования количество оценок в Google Play не менее 300, а в App Store — не менее 50. В исследование не вошли мобильные приложения, которые не позволяют заказать такси онлайн и оплатить поездку банковской картой.

    По итогам исследования работа всех приложений была признана как минимум удовлетворительной. Более половины из них — 22 — заслужили оценку выше четырех баллов.

    Как следует из отчёта Роскачества, характеристика функциональности включает в себя такие показатели, как полнота информации о водителях, возможность оставить комментарий для водителя и связаться с ним, а также наличие сервиса отслеживания поездки по карте; удобство использования — простоту и качество навигации, адаптацию сервиса для людей с ограниченными возможностями; безопасность — надежность передачи данных пользователей, наличие шифрования и уязвимостей, запрос разрешений и согласия на обработку данных, а также возможность удалить аккаунт пользователя.

    Лучшие оценки по сумме всех показателей Роскачество поставило приложениям «Яндекс.Такси» и UBER Russia (для iOS и Android), а также «Ситимобил» (для Android) и Gett (для iOS).

    При этом самым важным критерием для приложения эксперты Роскачества назвали его безопасность.

    «Крайне важная группа показателей, потому как данная категория мобильных приложений включает в себя сбор и хранение личных данных, а также онлайн-оплату услуги. Одним из ключевых критериев в данной группе является безопасность передачи пользовательских данных. Эксперты с помощью специализированного ПО производили захват всего трафика, который пересылает исследуемое приложение, а затем анализировали его на наличие как незашифрованного контента, так и незашифрованных пользовательских данных. Большинство приложений, а именно — 75%, получили по данному критерию самый высокий балл. Это значит, что все данные пользователя передаются с использованием алгоритмов шифрования», — говорится в отчёте.

    Наихудшую оценку (1/5) по данному критерию получило приложение «Масани» (работает и на iOS, и на Android). По сведениям Роскачества, оно передает в незашифрованном виде геоданные, номер мобильного телефона с пинкодом и комментарий к заказу. Также низкий балл по безопасности получили приложения inDriver, «Такси 777» и «Ангел» на iOS и на Android.

    «Незашифрованный контент при передаче возможно подменить исполняемым файлом, при открытии которого может быть выполнена вредоносная программа. Таким образом, что мало вероятно, но тем не менее возможно, при желании и определенных навыках злоумышленник может получить контроль над устройством. Более того, отсутствие шифрования делает устройство уязвимым для атак», — говорится в отчете.

    В результате самыми безопасными приложениями были признаны на iOS: Uber Russia (4,8 балла из 5), «Яндекс.Такси» (4,5), Gett (4,4), «Rutaxi Онлайн» (4,4) и «Везет (Rutaxi)» (4,4); на Android: «Яндекс.Такси» (4,8), «Uber Russia» (4,43), «Рутакси» (4,4) и inDriver (4,4).
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 3

      0
      Эксперты с помощью специализированного ПО производили захват всего трафика, который пересылает исследуемое приложение, а затем анализировали его на наличие как незашифрованного контента, так и незашифрованных пользовательских данных. Большинство приложений, а именно — 75%, получили по данному критерию самый высокий балл. Это значит, что все данные пользователя передаются с использованием алгоритмов шифрования

      Кажется, что это крайне недостаточная проверка, забавно видеть, как дырявые приложения, разработчики которых не особо хотят отвечать на сообщения, оказываются не самыми плохими.


      Незашифрованный контент при передаче возможно подменить исполняемым файлом, при открытии которого может быть выполнена вредоносная программа.

      А вот это звучит крайне интересно: есть куча популярных развлекательных приложений с HTTP-соединениями. Было бы крайне интересно узнать, как это можно использовать для захвата контроля над устройством. Особенно, на IOS.

        +2

        Аналогичное впечатление было от этих двух пунктов — экспертиза в стиле "детский сад, штаны на лямках". Откуда взялась мысль, что если подменить контент в проприетарном клиенте, он внезапно запустится, это же не браузер, который может разрешить сохранить и потом запустить файл (и то не везде). Без анализа HTTPS на подмену сертификата и даунгрейд протоколов, уязвимостей итд. Звучит как полное позорище, а не экспертиза (если только это опять журналисты не переврали, но у меня отсюда оригинал Роскачества не загружается).

        +3
        «Незашифрованный контент при передаче возможно подменить исполняемым файлом, при открытии которого может быть выполнена вредоносная программа. Таким образом, что мало вероятно, но тем не менее возможно, при желании и определенных навыках злоумышленник может получить контроль над устройством. Более того, отсутствие шифрования делает устройство уязвимым для атак»

        Не, ну это бред. Для этого должна быть определённая уязвимость нефильтрации входных данных, чтобы можно было выполнить произвольный код, да плюс ещё опционально уязвимость повышения прав в системе, чтобы «покинуть пределы приложения». А то эдак мы все уязвимы потому и только потому что браузер может в http-протокол.
        Проблема отсутствия шифрования в том, что передаваемые данные могут быть кем-угодно прочитаны и переписаны. Т.е. если реквизиты банковской карты передаются, можно украсть деньги с этой карты, а если местоположение, то можно перенаправить такси на другой конец города. Но «овладевание» устройством — это вообще не про то.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое