...

Roskachestvo revela aplicações de táxi pouco seguras

O Centro de Especialização Digital Roskatchestvo realizou um inquérito sobre as 20 aplicações mais populares de encomenda de táxis móveis. Dado que os serviços de táxi recolhem e armazenam os nossos dados pessoais e de pagamento, devem ter um desempenho impecável em termos de segurança. Foi também analisada a segurança da informação de mais de 60 aplicações pouco conhecidas. Infelizmente, nem todos eles estavam seguros.

imagem_1_1

Desde 2023, o mercado de táxis tem vindo a crescer e a mudar rapidamente, em 2023 vários serviços, incluindo a Veset e a Rutaxi, anteriormente analisados pela Roskatchestvo, foram adquiridos pela Yandex, que aumentou a sua quota global e a tornou líder absoluta na presença 40% no total, 67% entre agregadores, segundo a Forbes a partir de Setembro de 2023 .

Para saber como são funcionais, de qualidade e seguras as aplicações de táxi, Roskatchestvo testou 20 aplicações: 10 cada uma para iOS e Android. E os advogados ANO “PravoRobotov” examinaram as políticas de privacidade dos serviços para o cumprimento da Lei Federal “sobre Dados Pessoais” № 152-FZ de 27.07.2006 e destacou aspectos negativos e positivos aos quais os utilizadores devem prestar atenção.

Sergey Bodrov, chefe do Centro de Especialização Digital Roskachevo.

“Durante o estudo, peritos utilizaram as aplicações como utilizadores comuns: encomendaram táxis e conduziram pela cidade, analisaram a aplicação e a sua funcionalidade, adicionaram endereços aos favoritos e pedidos de encomenda, estudaram perfis de condutores informação sobre condutores, automóveis, empresa transportadora e elaboraram outros cenários de utilização típicos. Além disso, foi efectuado um teste de segurança da aplicação utilizando software especializado. Todas as características-chave foram testadas, avaliando a conveniência, a segurança da informação, bem como o desempenho e a fiabilidade das aplicações de encomenda de táxis”

De acordo com o estudo, o líder da aplicação Yandex Go permaneceu o mesmo, Taxovichkof perdeu ao máximo, enquanto Citimobile melhorou a sua posição e está agora em terceiro lugar em ambas as plataformas iOS e Android .

De acordo com os resultados do teste, as aplicações mais funcionais são Yandex Go, Taxovicof em ambas as plataformas e Uber no Android, bem como Citimobile no iOS. As aplicações mais fáceis de utilizar de acordo com os resultados do inquérito são Yandex Go, Taxovichkof e máxima no Android, bem como Taxovichkof e máxima no iOS. Em termos de segurança da informação, todas as aplicações populares tiveram um bom desempenho, com a maioria a pontuar 3,5 ou mais. Algumas aplicações Android foram rebaixadas por terem ‘localizadores’ de dados de utilizador.

Todos os participantes da investigação têm a maior parte das funcionalidades implementadas a um nível elevado. No entanto, Gett e DiDi não permitem chamar um táxi sem dar primeiro um endereço, nem todas as aplicações mostram a distância que resta entre o carro e o utilizador: a função está ausente em Pokhely, Taxovichkof e maxim. A versão Android do DiDi não mostra os edifícios no mapa. Apenas Taxoviccof, Yandex.Go, Citimobile e Uber podem seleccionar novamente um endereço de viagem recente.

O próximo ponto importante para o utilizador, uma vez feita a escolha do carro e atribuído o veículo, é o perfil do condutor e do veículo. Os peritos avaliaram se o nome do condutor, fotografia e classificação, informações sobre o veículo em si, informações sobre a empresa transportadora, dados sobre a data de registo do condutor no serviço de táxi.

Tal como no estudo anterior, ainda existe uma variação significativa entre as aplicações no grau de preenchimento do perfil do condutor, desde a ausência virtual de um perfil de condutor em Pohely, Omega e TapTaxi, até um cartão totalmente informativo com fotografia em Yandex Go, DiDi e Gett.

O próximo grupo importante de critérios para o utilizador são os desejos de viagem. No caso de o utilizador ter uma criança pequena, bagagem pesada ou um animal, a presença de filtros apropriados é muito importante. Como a investigação demonstra, a falta de tais filtros continua a ser um problema para algumas aplicações. DiDi, Gett, TapTaxi e Uber têm a menor quantidade de opções de partilha de viagens.

Adicionalmente foi avaliada a disponibilidade de SOS-button: está disponível em Omega, Pogolyadka, Yandex Go e maxim, bem como em DiDi e Citimobile. Permite-lhe marcar o 112 com um único toque, ou partilhar os seus dados de localização com contactos de confiança. Esta característica pode ser o factor decisivo para algumas pessoas quando decidem sobre um serviço.

Em comparação com o inquérito anterior, a possibilidade de colocar um condutor específico numa lista negra numa aplicação tornou-se mais popular a maior parte deles fazem-no contactando o apoio ao cliente, mas há também aqueles que bloqueiam directamente o condutor . A demonstração da classificação do utilizador semelhante à classificação do condutor não foi avaliada, apenas Yandex Go a tem aberta ao passageiro. Citimobile tem um nível de conta de utilizador semelhante.

Ao examinar as aplicações de segurança, os peritos avaliaram se o serviço apenas solicita detalhes e permissões de utilizador minimamente necessárias, e se o utilizador pode apagar a conta. A segurança da aplicação e da transmissão de dados do utilizador foi analisada separadamente. Para tal, os peritos capturaram todo o tráfego que a aplicação envia utilizando software especializado Wireshark , e depois analisaram-no para dados não encriptados. Todas as aplicações foram bem sucedidas na intercepção do tráfego – não foram identificadas vulnerabilidades.

Foi também introduzido um novo critério: a presença de rastreadores analíticos que recolhem informações sobre o utilizador. São adicionados pelos criadores para bons fins – para analisar o comportamento dos utilizadores e utilizar esta informação para desenvolver a aplicação. Contudo, os rastreadores gratuitos de grandes empresas como o Facebook ou o Google comportam riscos de segurança adicionais: os utilizadores de TI recebem dados estatísticos sem o consentimento do utilizador. Por este motivo, a presença de tais rastreadores foi vista como um “menos” no estudo. Não foram detectados tais módulos em aplicações iOS; em aplicações Android, as pontuações foram reduzidas com base neste critério.

60% das aplicações têm cartões bancários com cordões através de 3-D Secure. Este código, enviado por SMS, é necessário para que o serviço verifique se o cartão lhe pertence realmente. Teoricamente, a sua ausência poderia permitir aos atacantes ligar o cartão de outra pessoa à sua conta e, subsequentemente, efectuar pagamentos de viagem a partir de um cartão roubado ou simplesmente levantando os seus dados.

Além disso, os peritos Roskatchestvo testaram todas as aplicações Android para a presença de vulnerabilidades e análise de vulnerabilidade de dia zero “Solar appScreener” utilizando tecnologia de análise binária automatizada, sem engenharia inversa descompilação do código fonte . Foram identificadas as seguintes vulnerabilidades potenciais: endereçamento DNS em 50% dos casos, reflexão insegura detectada em 30% das aplicações estudadas, implementação insegura do SSL nativo em 20%. Algoritmo de hashing fraco em 80% das aplicações pesquisadas, utilização do protocolo HTTP inseguro em 70%. Consulta de base de dados SQLite – 20%.

Para além das 20 aplicações bem conhecidas incluídas no estudo, os peritos também verificaram a segurança de 63 outras aplicações menos populares: 36 no Android e 27 no iOS, respectivamente.

imagem_2_1

imagem_3_1

Na plataforma iOS, apenas os dados de geolocalização do utilizador foram transferidos em acesso aberto no momento da reserva; 6 aplicações estavam envolvidas, incluindo NonStop: serviço de encomendas de táxis; Taxi Pobeda; DA TAXI Tyumen e Taxi Variant. No Android, a situação parece pior – por exemplo, os peritos identificaram duas aplicações – “SV-TAXI. Call Taxi” e “UpTaxi todas as cidades “, que, para além dos dados de geolocalização acima mencionados, também transmitiram os dados pessoais do utilizador no domínio público. Número de telefone num caso e credenciais número de telefone e senha e modelo do dispositivo no segundo caso, respectivamente. Esta vulnerabilidade, para além do compromisso directo de dados, pode levar a novos ataques de autores de fraudes contra utilizadores.

Também foram identificadas 3 aplicações Android que transmitiram dados não codificados de geolocalização do utilizador, nomeadamente “Taxi Order GOST”, “My City” e “Taxi Saturn+”. Tal como no iOS, esta vulnerabilidade, embora não seja crítica, é indesejável de uma perspectiva de segurança digital.

Um problema à parte na plataforma Android é o acesso excessivo ou oculto a aplicações, que dão funções ocultas, e em alguns casos podem até ser maliciosas. Assim, 17 de 36 aplicações Android têm acesso a dados sobre o estado do telefone, 8 de 36 aplicações têm acesso para ver contactos, e 6 de 36 aplicações têm acesso para fazer chamadas telefónicas.

Entre os pedidos que solicitaram todos os acessos redundantes acima referidos estava “SV-TAXI. Chamar um táxi”, “Taxi Nam Puti” e Faem.Táxi . Roskatchestvo não recomenda o download de tais aplicações.

Verificar se a política de privacidade dos pedidos de táxi cumpre a lei “Sobre Dados Pessoais” N.º 152-FZ de 27 de Fevereiro de 2012 .07.2006 foram realizadas por advogados da Organização Autónoma sem fins lucrativos “PravoRobotov. No conjunto, todas as aplicações estudadas tiveram uma boa pontuação em termos de direito, com uma pontuação igual ou superior a 4. A excepção foi a Taxovitchcof, cuja ligação à política de privacidade da aplicação não estava a funcionar na altura do inquérito. Na altura da publicação, o problema não tinha sido resolvido. No entanto, todos os serviços, excepto o Taxoviccof, transmitem dados a terceiros filiados.

As questões da cobertura dos seguros de vida e de saúde para os passageiros dos táxis de passageiros têm estado sob escrutínio crescente tanto por parte das autoridades governamentais como do público em geral há já vários anos. Como parte do inquérito, Roskachestvo e advogados da PravoRobotov analisaram a informação sobre seguros nas aplicações relevantes. Apenas três deles Citimobile, Yandex e Yahoo!.O serviço “Taxi” e Gett assegura automaticamente o passageiro durante a viagem, sendo o seguro de passageiros subcontratado a um terceiro. Outros serviços transferem de uma forma ou de outra a responsabilidade por emergências nos ombros do condutor e/ou do passageiro e obrigam a aceitar que, de facto, o transportador “não presta serviços de transporte ou logística” e não aceita a reivindicação incluindo essa formulação e o serviço Uber, propriedade de Yandex .

Stanislav Shvagerus, Chefe do Centro de Competência do Fórum Internacional de Táxis da Eurásia.

“Na Federação Russa, a prática do seguro de passageiros é voluntária e constitui de facto uma vantagem competitiva do agregador no mercado. No entanto, o carácter voluntário desse seguro acarreta riscos significativos para os passageiros dos táxis. Se o seguro obrigatório definir claramente a ordem de pagamento, o montante do pagamento do seguro determinado tanto pela legislação sobre seguros como pelo artigo 34 “Responsabilidade do afretador”, a Lei Federal de 8 de Novembro de 2007. N 259-FZ “Estatuto do transporte automóvel e do transporte eléctrico urbano acima do solo”, então em caso de seguro voluntário de responsabilidade dos agregadores este procedimento e os montantes dos pagamentos são determinados por um acordo entre a seguradora e o agregador. Daí os montantes muito pequenos da indemnização real pela vida e saúde dos passageiros dos táxis de passageiros”

À parte estão os chamados agregadores de “segundo nível”, que ainda não seguraram a sua responsabilidade ou organizaram “fundos de pagamento”. Tais agregadores declaram normalmente nas suas regras internas que “não são responsáveis pelo contrato de táxi público que assinam e que toda a responsabilidade para com o passageiro é suportada pelo condutor do táxi”. Estes agregadores ignoram que, de acordo com o Artigo 37 “invalidade dos acordos” da Lei Federal de 8 de Novembro de 2007. N 259-fz “Estatuto do transporte automóvel e do transporte eléctrico urbano terrestre”, tais documentos são inválidos.

A jurisprudência relativa à indemnização por danos de vida e saúde dos passageiros de táxi de passageiros é extensa e consiste na aceitação em massa da responsabilidade dos agregadores de táxis pelos danos causados aos passageiros de táxi de passageiros ao abrigo de um contrato de frete de táxi de passageiros. Verifique – se o seu serviço de táxi favorito cumpre os requisitos de segurança e segue a letra da lei?

O estudo foi conduzido de acordo com a metodologia de ensaio baseada na norma nacional preliminar para o ensaio de comparação de aplicações móveis PNST 277-2023.

Avalie este artigo
( Ainda sem classificações )
João Pereira

Desde que me lembro, sempre fui fascinado pela beleza do mundo ao meu redor. Quando criança, sonhava em criar espaços que não apenas encantassem, mas também influenciassem o bem-estar das pessoas. Esse sonho tornou-se minha força motriz quando decidi seguir o caminho do design de interiores.

Artigos brancos. TVs. Computadores. Equipamento fotográfico. Revisões e testes. Como escolher e comprar.
Comments: 1
  1. Joaquim Gomes

    Quais são as principais preocupações de segurança relatadas pelo Roskachestvo em relação aos aplicativos de táxi? Existem medidas sendo tomadas para garantir a segurança dos passageiros? Quais são as alternativas recomendadas para garantir uma viagem segura de táxi?

    Responder
Adicionar Comentários