Сучасна диджитал-освіта для дітей — безоплатне заняття в GoITeens ×
Mazda CX 5
×

Дій вдома — про потенційні проблеми з безпекою цифрового карантину

пишуть, що в Україні запустили мобільний додаток, який цитата — «допоможе контролювати дотримання громадянами обсервації та самоізоляції»

за відмову користуватися штрафуватимуть — dt.ua/...​trafuvatimut-343880_.html
мінцифри каже, що все ж штрафувати не будуть — www.facebook.com/...​91/posts/2006718249472029

не зважаючи на те, що пряме призначення додатку — стеження за користувачами (sensitive data), схоже, над безпековими питаннями розробники особливо не запарювалися
бо як ще пояснити, що debug logs встановленого з Play Market андроїд додатку доступні всім

зокрема, перший рядок в терміналі після встановлення дії-2 — firebase device registration token — ibb.co/bvxhNPw
про який Google чорним по білому пише: registration tokens must be kept secret — firebase.google.com/...​ncept-options#credentials

боюся уявити, що виявиться, якщо зробити нормальний професійний аудит

------
UPD. як виявилося згодом, додаток також пише в логи — ibb.co/02VrmDr

— номер телефону користувача
— код з смс, який використовується для авторизації
— його місцезнаходження
— кількість днів, які залишилися на ізоляції
— параметри isHard та status, які можуть передавати певну медичну інформацію

все це очевидно не відповідає критеріям безпеки Google — developer.android.com/...​lines/core-app-quality#sc
зокрема SC-D4: No personal or sensitive user data is logged to the system or app-specific log
------

UPD 2. додаток вже недоступний для загалу в Google Play Store — play.google.com/...​id=ua.gov.diia.quarantine
додаток оновили до версії 1.0.1, в якій логи для відлагодження відсутні
------

UPD 3. банально відправивши POST запит на vdoma.diia.gov.ua/api/v1/auth/otp з номером телефону {«phoneNumber»: «380XXXXXXXXX»} та рендомним mobile_uid у хедері будь-хто може дізнатися, чи перебуває такий користувач на обсервації. Якщо 404 i The requested model User 380XXXXXXXXX could not be found, значить не перебуває, 200 ok — все навпаки
П — приватність:)
------

UPD 4. виправили, тепер на будь-який номер телефонy — 200 OK
------

реакцію розробників можна почитати в цьому треді — www.facebook.com/...​mment_id=2006845209459333

ваші думки, пані та панове?

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному2
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Такие приложения могут разрабатывать и сторонние разработчики(волонтеры), но под чьим-то контролем (можно государства, можно чьим-то другим). И в конце — аудит на предмет UX/Security

Никто по закону не может заставить ставить какие либо приложения, поэтому чисто зря потраченные деньги для того чтобы просто показать «видимость» активных действий

Да плевала на закон текущая власть.

Як один з розробників додатку, скажу, що він розроблявся в умовах великого дефіциту часу та при високому рівні стресу. Іноді у таких ситуаціях квапливості трапляються косяки, що поробиш...
Дякую, що сповістили про знайдену недоробку. Але звісно, вважаю, що краще було не афішувати таке, а написати в службу підтримки.

З приводу закликів забанити додаток — видно нерозуміння, для чого і для кого він потрібен. Тож спробую пояснити:
Додаток потрібен для того, щоб люди, які приїхали із-за кордону, з країн з поганою епідеміологічною ситуацією, не були вимушені проводити кілька тижнів обов’язкового карантину (або обсервації) у лікарні. Для цього вони підписують документ — згоду на самоізоляцію. Тільки тоді їм потрібен цей додаток. Також він стосується людей, що мали лихо заразитися вірусом у легкій формі, і не бажають проводити час у лікарні.

Мені, мабуть, вам, чи іншим людям, які здорові і не підписували цей документ, цей додаток непотрібен. Більше того, ми навіть при бажанні не зможемо в нього зайти, оскільки наших телефонів немає в базі людей, що дали згоду на самоізоляцію.

Тому прошу не квапитися з висновками. Цей додаток потрібен. Просто не всім.

Якщо додаток просуває держава ще й пропонує штрафувати, він не має права бути з такими багами, хоча справа тут навіть не в багах, в у самому підході з нехтуванням інформаційною безпекою та легковажінням приватністю). Спробували б ви в штатах так обробляти медичну інформацію compliancy-group.com/...​paa-fines-directory-year

Тож спробую пояснити

Законодательно использование программы никак не урегулировано. Для государства флакон зеленки нужнее чем эта программа: пока не будут решены юридические вопросы использования программа может рассматриваться лишь как средство развлечения человека который сам выбрал самоизоляцию. За время пока будут решаться юридические вопросы можно найти нормального архитектора который не будет закладывать в продукт такие глючные подходы.

Начнём с простого — технически телефон не годится никак для этих задач. И всё что можно получить — это срок или штраф, по беспределу, в системе правосудия которой попросту нет.

Посмотри процент оправдательных приговоров в уголовных судах Украины, поймёшь что суд просто фикция, ты «виновен» уже по факту обвинения. Так что всё что ты получаешь этой программой — это удобство мусоров привязать тебя к преступлению на районе. И тебя посадят просто потому что ты был в нужное время в нужном месте — и всем плевать что именно ты был тогда и там потому что таковой была выборка в базе данных, и не будь тебя, «виновным» был бы следующий ближайший.

Як один з розробників додатку, скажу, що він розроблявся в умовах великого дефіциту часу та при високому рівні стресу.

Я кучку лайна теж зробив в умовах дефіциту часу та при високому рівні стресу. Але ж я не намагаюся назвати це продуктом

Я зараз користуюсь додатком. Багато вражень, можу розповiсти, якщо цiкаво.

Сержанте Петренко, займіться нарешті ділом, замість по форумах лазити, ще стільки людей по горо́дах та парках вештається.

Не пости с ударением — я его каждый раз пытаюсь ногтем отодрать от монитора)

Тю, що я, даремно кастомну розкладку майстрував?

Пожалей особо одарённых коллег у которых четыре автомобиля, нажитых непосильным честным трудомо на 5% ФОПе! Они ж не смогут ездить без электронных документов!

Очередное головотяпство и не соответствие конституции. На каком это, интересно, основании человека
1. Заставляют пойти и купить себе мобильный телефо
2. Заставляют сидеть дома при том, что эпидемии(100 тысяч заболевших) нет и близко.

Да, я понимаю, людям в группе риска целесообразно посидеть дома. Но штрафовать их, ради их-же блага это ...

про який Google чорним по білому пише: registration tokens must be kept secret

кстати а как это по нормальному делается? ведь его всеравно можно выковырять их АПКшки

Чому я анітрохи не здивований?

вроде его массово зарепортили как не отвечающий политике сторов, на выпил...

UPD 2. банально відправивши POST запит на vdoma.diia.gov.ua/api/v1/auth/otp з номером телефону {«phoneNumber»: «380XXXXXXXXX»} та рендомним mobile_uid у хедері будь-хто може дізнатися, чи перебуває такий користувач на обсервації. Якщо 404 i The requested model User 380XXXXXXXXX could not be found, значить не перебуває, 200 ok — все навпаки
П — приватність:)
------

Ви дійсно молодець що знайшли таку дірку, і дуже погано що такі дірки існують в таких пристосунках. Але може треба було спочатку повідомити розробників, і публікувати це тільки коли вони дірку закриють, або якщо відмовляться це робити? Бо ви зараз не розробникам пристосунку погано зробили — їм скоріше за все пофіг на таку репутацію, а ви людей підставили, які ніякого відношення до розроблення цього пристосунку не мають і просто мали нещастя жити в цій країні.

Дякую!

Реакцію Chief Product Officer Дії можна побачити в ось цьому треді — www.facebook.com/...​mment_id=2006845209459333

шматок «мертвих» логів, не варте уваги
«мова йде про життя людей»
Мы гордимся вами, всей командой. Так держать!
і тд

та й взагалі зацініть стиль спілкування:)

Так, стиль спілкування не дуже хороший, м’яко кажучи, ви праві. Але взагалі краще писати в особисті повідомлення про таке, а не відразу у публічні комменти на фейсбуці. Також там ви описали іншу проблему, а не цю дірку в API (Звісно ні в якому разі не применшую важливості тої проблеми яку ви там описали)

Это случаем не про тех хакеров, которым прокуратура вменяет неувожение оскорбление Зезидента, или у нас каких новых хакеров взяли?

відправивши POST запит на vdoma.diia.gov.ua/api/v1/auth/otp з номером телефону {«phoneNumber»: «380XXXXXXXXX»} та рендомним mobile_uid у хедері будь-хто може дізнатися, чи перебуває такий користувач на обсервації. Якщо 404 i The requested model User 380XXXXXXXXX could not be found, значить не перебуває, 200 ok — все навпаки

аут

А звідки в вас цей скрін з тестовими даними?

після того, як побачив, що ще до логіну в логах виводиться інформація про firebase токен, підключив проксі та пройшов етап логіну підставляючи очікувану для додатку відповідь сервера. це не склало труднощів, адже моделі відповіді серверу відразу кидаються в очі, тай сам додаток не використовує SSL pinning. так само підставив тестові дані користувача у відповідь на запит /user — і вуаля, вони також очікувано вивелися в лог.

Начнём с того, что ни обсервация, ни самоизоляция — незаконны. В том смысле что даже не рассматриваются законом как карантинная мера. Не говоря уже о незаконности отказа в тестировании при наличии эпидемии.

Посадите этих клоунов шить маски вместо того чтобы писать говнокод. Желательно в одном помещении — и пустите слух что у одного из них был вирус, но вроде вылечился :)

Давайте не будемо розповсюджувати фейки від «Інтерфаксу» www.facebook.com/...​91/posts/2006718249472029

у топіку наведено саме цей лінк

Добре, бо коли я писав, не було

бо як ще пояснити, що debug logs встановленого з Play Market андроїд додатку доступні всім

Так вроде на современных ведроидах логи нельзя читать сторонним приложениям, установленным на телефон.
А чтобы через adb на компе прочитать — надо включить опции разработчика.

за відмову користуватися штрафуватимуть

Тобто, якщо в тебе не смартфон — штраф?
В котрий раз зеля та його команда показує що вони повні некомпетентності жлоби. Коли ж Вова з його зеко!мандою полетить до ростова?

Тобто, якщо в тебе не смартфон — штраф?

Врядли. Скорее просто ошейник со взрывчаткой на шею и всего делов.

Такое еще пишут:

Для людей с подозрением на COVID-19, у которых нет смартфона, сформируют колл-центр, который будет им звонить, спрашивать о состоянии здоровья и потребностях. Сейчас, по данным Минцифры, таких людей — порядка 5% от общего количества целевой аудитории приложения.

ain.ua/...​04/07/mincifry-dij-vdoma

, у которых нет смартфона, сформируют колл-центр, который будет им звонить

Звонить куда? %) В дверной звонок? Или в колокольчик?

Наверное, имеются ввиду случаи, когда у человека нет смартфона, но есть обычный мобильный телефон или проводной домашний телефон.

И сами же мусора будут названивать с предложениями снять браслетик — не бесплатно разумеется. И будут шантажировать что если не позолотишь ручку — оформят протокол нарушения.

А то ты не знаешь, как они «работают» с условно-освобождёнными, убеждая вернуться в преступный бизнес.

Интересно другое, откуда у вас такие познания:

А то ты не знаешь, как они «работают» с условно-освобождёнными, убеждая вернуться в преступный бизнес.

Вернулся из будущего, отсидев 20 лет за пост в Фейсбуке.
А перед тем 2 года за этот коммент.

Підписатись на коментарі