Роскачество 3 июня назвало главные уязвимости приложений для аренды самокатов и велосипедов — в тот же день, когда петербургские следователи объявили о проверке самих сервисов после инцидентов с пострадавшими.
Были исследованы восемь приложений велопроката и 27 приложений кикшеринга: Bike&Go, BikeMe, Bumerang (Lifcar), BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Альметьевск, GreenBee, lite, LuckyBike, Matur.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, «Берисамокат», «ВелоБайк», «Велобайк мультигорода», «Зеленый город», «Карусель», «Ситимобил». Все приложения признаны безопасными: критических уязвимостей не найдено, выявлено лишь несколько недочетов.
Всего изучено 68 приложений (по 34 для iOS и Android): их информационная безопасность, политика конфиденциальности, наличие потенциальных уязвимостей. Значительная часть приложений имеет схожую архитектуру, меняется только дизайн и контент.
Все изученные сервисы, кроме двух, имеют доступ в приложение по одноразовым SMS-кодам, что повышает надёжность и исключает риск того, что под сторонней учётной записью велосипед или самокат будут арендовать другие люди. Более низкий уровень безопасности продемонстрировали только сервисы «ВелоБайк — городской велопрокат Москвы» и «Велобайк мультигорода». Эти приложения присылают разовый логин и PIN-код, которые не меняются со временем.
При авторизации 21% всех приложений запрашивает расширенные данные. В частности, Rusharing, e-motion, Zevs, e-GoGo, Flyfer, «Берисамокат», Bike&Go требуют имя и фамилию. E-motion единственное попросило при регистрации фото паспорта или водительского удостоверения (впрочем, этот шаг оказалось возможным пропустить при регистрации без видимых последствий).
Ни одно из исследованных приложений, кроме Whoosh, не позволяет удалить свой аккаунт (при помощи реализованной в программе функции). Это можно сделать, обратившись в службу поддержки сервисов.
Согласие пользователя на передачу и обработку своих данных является важнейшим принципом при предоставлении современных онлайн-услуг. В том или ином виде запрашивается согласие в 100% исследованных приложений, но именно активное согласие запрашивают только 24%.
Что касается потенциальных уязвимостей и недокументированных возможностей, наиболее значимые — это использование незащищенного протокола HTTP (у 90% приложений на Android), с ней схожа небезопасная собственная реализация SSL (у 34%). Небезопасная рефлексия была отмечена у 87% приложений, слабый алгоритм хеширования — у 62%. Внедрение в запрос к базе данных SQLite зафиксировано у 22%, обращение к DNS у 82% приложений. Алгоритм шифрования у большинства приложений реализован хорошо, потенциальные уязвимости выявлены только у 12% рассмотренных приложений.
«Стоит еще раз отметить, что выявленные уязвимости являются лишь потенциальными. Иными словами, это не означает, что их смогут успешно проэксплуатировать злоумышленники, однако это не исключено», — отмечается в сообщении.
Итоговая стоимость аренды складывается из оплаты старта и поминутной стоимости (а в некоторых случаях и из выбранного тарифного плана), поэтому пользователям рекомендуется внимательно читать условия аренды перед тем, как брать самокат напрокат.
Рынок микромобильного транспорта — один из самых быстрорастущих в России. В начале 2020 года в России было не больше 10 тысяч самокатов, к концу года — уже около 30 тысяч. По состоянию на апрель 2021 года на всех операторов кикшеринга приходится около 85 тысяч самокатов (более половины из них в Москве), до конца года это число может дойти до 100 тысяч. К концу года этот рынок, как ожидается, вырастет до 10 млрд рублей — на 300%. Абсолютное большинство транспорта (около 60 тысяч самокатов) приходится на долю сервисов Urent и Whoosh. В апреле стало известно о скором выходе на рынок компании «МТС», что также может подстегнуть его развитие.
В Санкт-Петербурге 3 июня обыскивают крупнейшие городские сервисы аренды самокатов: WHOOSH, MOLNIA, BOLT, SCOOBEE и RED WHEELS. Следственный комитет уточняет, что мероприятия проводятся «с целью отыскания и изъятия предметов и документов, представляющих интерес для следствия, а также в целях установления скрывшегося мужчины, который в Невском районе города совершил наезд на ребёнка». Следователи также продолжают работать с тремя случаями травмирования детей после встреч с самокатчиками. Ранее сообщалось, что четырёхлетнего мальчика госпитализировали 1 июня из Колпинского района, а на следующий день — пятилетнюю девочку из Невского района. Оба происшествия привели к возбуждению уголовных дел по статье о причинении тяжкого вреда здоровью по неосторожности. Ещё один мальчик в возрасте 4 лет накануне попал в больницу в результате столкновения с самокатом в Московском районе.
