Насколько безопасно пользоваться приложениями по доставке еды?
Роскачество провело исследование популярных мобильных приложений по доставке готовой еды. Были испытаны приложения служб доставки, а также собственные приложения ресторанов и кафе. Тесты проводились по 43 критериям, в том числе по надежности и безопасности.
Чтобы оценить безопасность приложений, эксперты проверили их по восьми параметрам. Среди них безопасность передачи информации о пользователе и его платежных данных, наличие обязательной аутентификации (введение логина и пароля), запрос необходимых пользовательских данных и разрешений и пр.
Могут ли мошенники украсть пользовательские данные?
Приложения передают через интернет данные пользователей: фамилию и имя, дату рождения, номер телефона, логин и пароль, геолокацию и т. д. Если они пересылаются в незашифрованном виде, их могут перехватить мошенники и воспользоваться ими.
Особенно опасно делать заказ через публичный Wi-Fi, например в транспорте или отеле. Злоумышленник может создать сеть с похожим названием, и если человек подключится к ней по ошибке, он направит мошеннику свои данные. Также хакеры могут подключаться к реальным публичным сетям и перехватывать данные посредством атаки Man-in-the-Middle («человек посередине»), если между клиентом и сервером отсутствует стойкое шифрование.
Эксперты Роскачества захватили трафик, который пересылает каждое из исследованных приложений, с помощью специализированного ПО. Затем они посмотрели, в каком виде приложения пересылают контент: в незашифрованном или зашифрованном.
Оказалось, что 88% исследованных приложений передают данные пользователей с использованием алгоритмов шифрования. Не прошли проверку приложение «Ташир» на iOS, т. к. при перехвате трафика специалисты смогли заполучить имя, номер телефона, e-mail и дату рождения из тестового аккаунта, а также три приложения на Android: Pizza Mafia, ZakaZaka и «Домино'с Пицца» — они передавали в незашифрованном виде геоданные пользователя.
Безопасно ли сообщать приложению данные банковской карты?
Эксперты Роскачества выяснили, что все проверенные приложения передают платежные данные с использованием платежных шлюзов. Они обеспечивают данным карты высокую степень шифрования.
Могут ли приложения распространять вирусы?
Если в самом приложении используется незашифрованный контент, то хакер может подменить его так называемым исполняемым файлом. Если пользователь по незнанию его откроет (нажмет на ту или иную картинку в приложении, текст и т. д.), запустится вредоносная программа. Таким образом мошенник может получить контроль над устройством.
В результате проверки приложений выяснилось, что 88% из них передают свои данные безопасно. Наихудший результат оказался у приложения «Почетный Гость», которое передает иконки ресторанов, фото блюд и картинки промоакций в незашифрованном виде.
Собирают ли приложения данные о пользователях?
Еще одним критерием оценки было то, запрашивают ли приложения только необходимые разрешения. У приложений для iOS нарушений выявлено не было, большинство же приложений для ОС Android вызвали вопросы у экспертов (кроме приложений «Империя Пиццы» и «Ташир Пицца»). Почти половина из приложений на этой платформе имеют доступ к изменению и удалению данных, например фото- и видеофайлов.
Анализ показал, что 35% приложений на Android собирают данные о пользователе и его запросах, а затем передают их другим лицам. Обычно мобильные приложения продают контент крупным корпорациям, которые используют его в рекламных целях. Так, оказалось, что 17% исследованных приложений для ОС Android собирают данные об устройстве, например его IMEI (англ. International Mobile Equipment Identity — международный идентификатор мобильного оборудования, или заводской номер), что дает возможность определить пользователя в интернете по его «цифровому следу».
Запрашивают ли приложения согласие на обработку и хранение данных?
Только три приложения из исследованных — ZakaZaka, «Папа Джонс» и «Ташир Пицца» — запрашивают активное согласие у пользователя на обработку и хранение его данных. Еще 22 приложения запрашивают неактивное согласие: оно предусмотрено по умолчанию, либо приложение информирует, что, продолжая его использовать, человек автоматически дает согласие. Не запрашивают согласия никаким образом три приложения: Dostaевский, «Империя Пиццы» и «ПиццаСушиВок».
Можно ли удалить аккаунт в приложении?
Эксперты выяснили, что ни одно из рассмотренных приложений по доставке еды не позволяет пользователям удалять в них аккаунты. Для этого нужно обращаться в службу технической поддержки сервиса.
Можно ли поставить в приложении пароль?
Мобильные приложения предполагают оплату заказа онлайн, но не все они предусматривают аутентификацию. Возможность установки пароля на вход предусмотрена только у 35%.
Какие мобильные приложения по доставке еды признали самыми безопасными?
Лучшими с точки зрения информационной безопасности оказались приложения «Папа Джонс» (на iOS и на Android), «Домино'с Пицца» (на iOS), «Якитория» (на iOS), Farfor (на iOS и на Android), «Ташир Пицца» (на Android). При этом ни одно из исследованных приложений по доставке еды не было признано небезопасным, отмечают в Роскачестве.
