Foram examinadas oito aplicações de aluguer de bicicletas e 27 aplicações kickshare em ambas as plataformas móveis: Bike&Go, BikeMe, Bumerang Lifcar , BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Almetyevsk, GreenBee, lite, LuckyBike, Matur.cidade, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Sharing Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamokat, VeloBike, VeloBike MultiCity, Green City, Carrossel, CityMobile.
Quantas bicicletas e scooters são para alugar na Portugal?
Mercado de aluguer de Scooters na Portugal em rápido crescimento. No final do ano, prevê-se que aumente 300%: em termos de Eurolo é de 10 mil milhões. Enquanto no início de 2023 não havia mais de 10.000 scooters na Portugal, em Abril deste ano já havia cerca de 85.000 para todos os operadores, e esse não é o limite. Intenções de investir em serviços de transporte de micro-móveis foram expressas por grandes empresas como Yandex, correio, MTS e Sberbank. Os serviços Urent e Whoosh são responsáveis pela grande maioria do tráfego – cerca de 60.000 scooters.
O mercado de aluguer de bicicletas está a desenvolver-se mais lentamente: no Outono de 2023 existiam 662 pontos de aluguer de bicicletas em Lisboa, que serviam 6,5 mil bicicletas. Nesta Primavera, irão acrescentar 67 novas estações de aluguer e 1.000 bicicletas novas, metade das quais são eléctricas. Já é comparável a cidades como Londres 18 mil ou Nova Iorque 8 mil . A época de aluguer de bicicletas deste ano começou um mês antes do habitual, no início de Abril. O Departamento de Transportes de Lisboa explicou este facto pelo facto de, num ano pandémico, o serviço de aluguer de bicicletas através da aplicação se ter tornado muito popular entre a população mais de 8 milhões de viagens .
Embora a polícia de trânsito tenha registado um aumento dos acidentes envolvendo veículos de micro-mobilidade, o governo está a considerar equiparar as scooters aos veículos, a fim de limitar a velocidade e, consequentemente, reduzir o número de vítimas. No entanto, o número de utilizadores de aplicações de aluguer está a crescer. Roskatchestvo avaliou a segurança da informação de tais aplicações e alertou para os riscos.
A maioria dos serviços de aluguer e kickshare de bicicletas funcionam no mesmo esquema sem complicações:
– Necessidade de descarregar a aplicação móvel e passar pelo processo de registo.
– Escolha um método de pagamento e uma tarifa, se o serviço o fornecer.
– Encontrar a base ou scooter mais próxima no mapa.
– Aproximar-se do veículo e activá-lo, seguindo as instruções do apêndice.
Ao inspeccionar os serviços de kickshare e aluguer de bicicletas para segurança da informação, a Roskatchestvo, juntamente com os advogados da PravoRobotov ANO, também analisou as suas políticas de privacidade. Um total de 68 aplicações 34 cada uma para iOS e Android foram examinadas. O estudo incluiu aplicações que no momento do teste proporcionaram a oportunidade de alugar o transporte micromóvel, tendo o estudo abrangido tanto os que operam na capital, como os serviços regionais.
A segurança das aplicações foi avaliada em função de oito critérios:
● Solicitar o mínimo de dados de utilizador necessários
Pedir apenas as permissões necessárias ● Autorização necessária
● Segurança da transferência de dados da aplicação
● Transmissão segura dos dados dos utilizadores
Consentimento para o processamento e armazenamento de dados
Ligação à política de privacidade
● Complexidade da palavra-passe
● Eliminação de conta
As aplicações Android também foram testadas quanto a potenciais vulnerabilidades utilizando o Solar appScreener. Grande parte da aplicação tem uma arquitectura semelhante, onde apenas o design e o conteúdo mudam.
● Complexidade da palavra-passe
Todos os serviços de aluguer de bicicletas estudados, excepto dois, têm acesso à aplicação através de códigos SMS únicos, o que aumenta a segurança e elimina o risco de outras pessoas alugarem uma bicicleta ou scooter sob uma conta de terceiros. Apenas a VeloBike – Moscow City Cycle Rental e a VeloBike MultiCity mostraram um nível de segurança mais baixo. Estas aplicações fornecem um único login e PIN, que não muda com o tempo. Tendo aprendido o login e a senha, um malfeitor pode potencialmente utilizar o serviço para os seus próprios fins, por exemplo, para andar com o cartão de outra pessoa ou mesmo para roubar um veículo, após o que o serviço terá perguntas exactamente para o proprietário da conta: ele terá de provar que não foi culpado. Por exemplo, se a bicicleta não for devolvida após 48 horas de aluguer,
“Velobike” escreve uma multa de 30 mil Euro ao titular da conta. Outras aplicações de aluguer de bicicletas têm penalizações semelhantes.
● Apenas são solicitados os dados mínimos de utilizador necessários
Normalmente, ao entrar num serviço de aluguer de bicicletas online, tendemos a introduzir o mínimo absoluto dos nossos dados pessoais, mas no caso de um serviço de aluguer, os dados alargados são solicitados por 21% de todas as aplicações. Outros Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamocat e Bike&Go requerem um nome e apelido. E-motion foi a única aplicação que pediu um passaporte ou uma fotografia de carta de condução ao registar-se embora esta etapa possa ser ignorada durante o registo, sem consequências aparentes .
Solicitando apenas as permissões necessárias
A segurança da informação do aplicativo é em grande parte determinada pela sua acessibilidade. Apenas duas coisas são necessárias para a plena funcionalidade da aplicação rent-a-mobile: pedido de localização e acesso à câmara para digitalizar um código QR . Todos os outros acessos foram tomados como redundantes no estudo. O BusyFly tem os acessos mais redundantes: fazer chamadas telefónicas, desligar o modo de descanso e também arrancar quando o dispositivo é ligado. BikeMe procura contas no dispositivo, enquanto o ScooBee pede permissão para exibir no topo de todas as janelas – um dos acessos mais potencialmente perigosos. 85% das aplicações Android analisadas não requerem acesso excessivo; no iOS este valor é ainda mais elevado devido à natureza do próprio sistema operativo.
Eliminação de conta
Além do Whoosh, nenhuma das aplicações estudadas pelos investigadores permite aos utilizadores eliminar a sua conta utilizando a funcionalidade implementada no programa. No entanto, isso pode ser feito contactando a equipa de apoio do serviço. Onze criadores de serviços prometeram à Roskatchestvo adicionar a opção de eliminação de conta na próxima actualização.
Transferência segura de dados
Roskatchestvo analisou os dados transmitidos pelas aplicações, interceptando o tráfego usando software especializado. Três aplicações têm dados de geolocalização do sistema no domínio público: “lite – ride here, ride now”, “Green City” e “Matur.cidade”. Pode rastrear a localização actual de um utilizador, se desejado, mas na maioria das vezes uma pessoa envia os seus dados de geolocalização quando aluga uma scooter ou bicicleta quando está ao ar livre. Isto minimiza o risco de um atacante se inserir no canal e ser capaz de manipular os dados que estão a ser transmitidos. Mais importante ainda, todas as aplicações demonstraram transmissão segura de dados dos utilizadores. Assim, os dados pessoais e de pagamento são seguros quando se utilizam as aplicações inspeccionadas pela Roskachevo.
Consentimento para o processamento e armazenamento de dados
O consentimento do utilizador para partilhar e processar os seus dados é um princípio essencial na prestação de serviços modernos em linha. Todos os 100% dos pedidos inquiridos tiveram alguma forma de consentimento, mas apenas 24% solicitaram consentimento activo.
Vulnerabilidades nas aplicações online de scooter e aluguer de bicicletas
Os peritos também avaliaram as potenciais vulnerabilidades e capacidades não documentadas das aplicações utilizando software especializado “Solar appScreener”. A vulnerabilidade potencial mais significativa e comum é a utilização do protocolo HTTP inseguro encontrado por 90% das aplicações Android , com uma implementação nativa igualmente insegura do SSL encontrado por 34% . As consultas a bases de dados SQLite foram detectadas em 22% das aplicações, enquanto as consultas DNS foram detectadas em 82% das aplicações. A maioria das aplicações tem um algoritmo de encriptação bem implementado, com apenas 12% das aplicações analisadas mostrando potenciais vulnerabilidades.
Daniel Chernov, director do centro AppScreener Solar da Rostelecom Solar.
“As aplicações móveis de baixa segurança para aluguer de bicicletas e scooters têm o potencial de comprometer uma grande quantidade de dados sensíveis dos utilizadores. Isto pode ser nome completo, número de telefone, e-mail, geolocalização, número de cartão bancário, etc. A protecção destas informações é da responsabilidade dos promotores. Os serviços populares estudados na Portugal demonstraram um elevado nível de segurança. E não se esqueça que cada nova versão da aplicação requer uma análise da qualidade do código e da sua segurança”
Avaliação jurídica
As políticas de privacidade de todas as aplicações receberam pontuações bastante elevadas. Do lado negativo, nem todas as aplicações indicadas no documento que os dados foram armazenados na Portugal – 9% delas não o fizeram, incluindo MOLNIA, VEZU e Red Wheels. O promotor é também obrigado a incluir todos os identificadores de terceiros na política, incluindo o seu nome TIN ou PSRN, mas tais dados estão em falta em 53% dos casos. A Bike&Go e GoBike oferecem a possibilidade de transmitir dados pessoais através das fronteiras. Para GreenBee, Green City e Seagull, o IP detém todas as informações pessoais obtidas como parte do serviço. E Velobike proíbe oficialmente a utilização de uma bicicleta de aluguer como contribuição imobiliária para parcerias comerciais e empresas.
Nikita Kulikov, director-geral da ANO PravoRobotov
“Os utilizadores de qualquer serviço devem estar cientes de que todas as suas acções com aplicações, mesmo algo tão pequeno como desbloquear uma bicicleta ou scooter, têm uma pegada digital e certas consequências. Assim, quase todas as aplicações partilham os seus dados com terceiros, embora de forma anónima. Em qualquer caso, o utilizador deve seguir os princípios gerais de segurança: controlar os acessos exigidos pela aplicação, introduzir apenas os dados mínimos necessários sobre si. Não deve enviar digitalizações de documentos ou ligar os dados de pagamento a aplicações suspeitas que não sejam de confiança.
Anton Kukanov, chefe do Centro de Especialização Digital Roskatchestvo, partilha as conclusões do estudo:
“As aplicações de aluguer de bicicletas e scooters estudadas são, na sua maioria, implementadas a um nível elevado e consideradas igualmente seguras. Nenhuma das observações que podem ser feitas na sua análise afecta a experiência directa do utilizador. O único ponto a assinalar é que o nome de utilizador e o PIN não mudam com o tempo e poderiam teoricamente ser utilizados para acesso não autorizado.
Conclusões e recomendações
As aplicações de aluguer de bicicletas e scooters estudadas são, na sua maioria, implementadas a um nível elevado. Praticamente nenhum dos comentários que podem ser feitos como resultado da análise afecta a experiência directa do utilizador. O único ponto não crítico digno de nota tendo em conta a escala do serviço é o login e o código PIN, que não mudam com o tempo e poderiam teoricamente ser utilizados para acesso não autorizado para o Moscow City Cycle Rental e a sua variante Multicity . Todas as aplicações foram consideradas igualmente seguras e nenhuma aplicação insegura foi identificada.
Em geral, o risco de utilização de aplicações de aluguer de bicicletas e scooters é improvável. As aplicações dos principais intervenientes no mercado são recomendadas pela Roskachevo para utilização. Tenha cuidado, contudo, ao descarregar aplicações de serviços pouco conhecidos e, em qualquer caso, preste sempre atenção ao acesso que estas requerem ao instalar. Ao escolher um serviço, tenha em mente que eles fornecem as suas próprias zonas de cobertura e áreas de estacionamento, o que é importante ao planear a sua rota.
Quais são as principais conclusões e recomendações da Roskachestvo em relação às aplicações de aluguel de bicicletas e scooters? Elas são confiáveis e seguras? Quais critérios foram analisados durante a investigação? Gostaria de saber mais detalhes sobre as melhores opções e quais as vantagens e desvantagens dessas aplicações.
As principais conclusões e recomendações da Roskachestvo em relação às aplicações de aluguel de bicicletas e scooters são:
1. Nem todas as aplicações de aluguel de bicicletas e scooters são seguras e confiáveis. Algumas apresentaram problemas relacionados à manutenção inadequada dos veículos, falta de dispositivos de segurança e má qualidade do serviço.
2. Durante a investigação, a Roskachestvo analisou critérios como qualidade dos veículos, facilidade de uso do aplicativo, clareza das informações e transparência na política de preços.
3. As melhores opções identificadas pela Roskachestvo foram aquelas que ofereciam bicicletas e scooters de boa qualidade, com manutenção regular, e possuíam um aplicativo de fácil utilização e com informações claras sobre preços, termos e condições.
4. As vantagens dessas aplicações incluem o fácil acesso a bicicletas e scooters para deslocamento urbano, a economia de tempo e dinheiro, a praticidade e a redução da pegada ambiental. No entanto, as desvantagens podem incluir a falta de disponibilidade de veículos em determinadas áreas, a possibilidade de roubo ou vandalismo e a necessidade de cumprir regras de trânsito e segurança.
Portanto, é importante pesquisar e escolher cuidadosamente a aplicação de aluguel de bicicletas e scooters com base nas recomendações da Roskachestvo e nas necessidades individuais, a fim de garantir uma experiência segura e satisfatória.