Можно ли клонировать приложение «Дія»? Опыт пользователей и мнение экспертов
Любую статью можно сохранить в закладки на сайте, чтобы прочесть ее позже.
Режим чтения увеличивает текст, убирает всё лишнее со страницы и даёт возможность сосредоточиться на материале. Здесь вы можете отключить его в любой момент.
В последние дни в сети активно обсуждают функцию клонирования приложения «Дія». В Минцифры считают, что это удобно, ведь эта функция дает возможность пользоваться приложением с разных устройств. Специалисты в сфере кибербезопасности с этим не согласны. Они считают, что так мошенники могут получить доступ к документам пользователей.
Редакция Vector собрала основные детали дискуссии и мнения сторон.
Как получить доступ к чужим документам через «Дія»
25 июня 2021 года эксперт по кибербезопасности Константин Корсун рассказал, как неизвестные оформили кредит на гражданку Украины Людмилу Ж. через приложение «Дія». У нее не было ID-карты и регистрации в «Дія».
По данным AIN.UA, злоумышленники действовали по такой схеме:
- взломали почту на ukr.net;
- получили доступ к номеру телефона, связанного с зарплатной картой;
- получили доступ к ее банковскому счету, успешно пройдя авторизацию по почте;
- зарегистрировались в «Дія», воспользовавшись скомпрометированным доступом к BankID.
В итоге злоумышленники оформили на нее кредит в компании «Милоан» на сумму 2430 грн. Это сравнительно небольшие деньги, но проценты по этому займу составили 9247,50 грн. В итоге Министерство цифровой трансформации провело внутреннее расследование, кредит закрыли, а микрофинансовые организации отключили от «Дія».
Можно ли пользоваться «Дія» одновременно на двух устройствах
20 июля эксперт рынка телекоммуникаций Роман Химич опубликовал пост в Facebook. В нем он рассказывает о своих экспериментах с приложением «Дія», на которые его натолкнула публикация Корсуна. Химич решил разобраться можно ли создать несколько полноценных копий приложения на разных устройствах и одновременно пользоваться ими.
Орфография и пунктуация всех постов в материале сохранена.
«Казалось бы, простой вопрос, однако отсутствие какой-либо документации на эту поделку крайне затрудняет поиск ответа на него. К если кто ещё не в курсе, МЦТ [Министерство цифровой трансформации] и ГП Дия не считают необходимым документировать продвигаемые ими государственные сервисы», — написал эксперт.
Для этого Химич попросил своего сына установить и запустить вторую копию приложения на другом смартфоне. Эксперимент провалился.
«В процессе регистрации ID-карты Дия сначала успешно распознала NFC-чип, однако затем застряла на этапе регистрации изображения владельца. Как оказалось, при активации «е-паспорта» путем регистрации ID-карты, необходимо зарегистрировать изображение его владельца, фотографируя его по определённому протоколу с разных ракурсов. Уж не знаю по какой причине, однако несколько попыток закончились сообщением об ошибке. Почему так произошло, выяснить было невозможно. Может, думал я, таким образом блокируется активация второй копии. Может быть — ошибка алгоритма», — пишет Роман.
После этого он изучил руководство пользователя и напрямую уточнил существование функции клонирования приложения в службе поддержки. В ведомстве ответили, что электронные документы не будут отображаться одновременно на двух устройствах. «Почему тогда попытка активации на втором устройстве не блокируется сразу?», — задался Химич.
Затем он попробовал клонировать «Дія» на разных устройствах с помощью собственного BankID «ПриватБанка».
«Вооружившись собственной BankID Привата, активирую первую копию Дии. В ней появляются заграничный паспорт и налоговый номер. Вторую копию ставлю в защищенную область памяти смартфона. Это, по сути, своего рода «песочница» (sandbox), изолированная область операционной системы, в которой можно, например, инсталлировать вторую копию программы, которая не поддерживает переключение между учетными записями. Ввожу данные BankID — получилось! У меня на руках — сразу две полнофункциональные копии «Дии»», — пишет Роман.
Далее Химич смог запустить третью копию «Дія» на планшете. Он считает, что это плохая новость с точки зрения безопасности приложения.
«При активации очередного экземпляра «е-документов» на уже установленные копии Дии приходят соответствующие уведомления. Однако возможности подтвердить или отвергнуть эту операцию у пользователя нет. Если дело происходит ночью, вы узнаете о произошедшем только утром, имея на руках ворох оформленных от вашего имени кредитов. Полчаса — час и всё готово», — поясняет эксперт.
Что ответили в Минцифры
21 июля Минцифры прокомментировало ситуацию изданию Dev.ua. В ведомстве заявили, что человека из службы поддержки уволили за ложный ответ.
«Действительно, это была ошибка менеджера. Командам поддержки постоянно проводят обучение по нашим продуктам», — объяснил происходящее руководитель по развитию электронных услуг Мстислав Баник.
Также представители Минцифры ответили Химичу, что можно пользоваться приложением на двух устройствах, если на них пройдена авторизация.
По словам Романа Химича, таким образом команда ведомства превратила баг в фичу.
В Минцифры подчеркнули, что система защищена должным образом.
«Для того, чтобы обеспечить безопасность приложения Дия, мы разработали logout-авторизацию. Мы использовали технологию ФотоID. Вам достаточно сделать идентификацию лица и продолжить сессию», — сообщили в Минцифры.
Что думают эксперты
По мнению начальника управления «Банка Восток» Михаила Сокола, при входе с другого устройства приложение такого уровня должно автоматически закрывать другие сессии.
«Для создания на другом устройстве нужно валидироваться через bank id. Для валидации в bank id нужно пройти авторизацию в своем банке (знать банк, знать пароли + в некоторых банках получить эта пароль и иметь номер телефона на руках). Соответственно авторизоваться на другом устройстве я могу тоже. С точки зрения безопасности почему не выбрасывает с другого устройства это косяк однозначно», — пишет Михаил.
В то же время CIO Infopulse Ukraine Евгений Новиков не видит проблемы в доступе к «Дія» на нескольких устройствах.
«Скриншот паспорта для выдачи кредита использовать запрещено, признание документа кредитующим учреждением происходит через короткоживущий QR на телефоне и официально подключеннный к системе Минюста (или Минцифры, не помню) сканер. При этом факт сканирования сохраняется и известно, кто, когда и зачем его сделал. Да, телефон украсть можно. Но, если авторизация через телефон — это плохо, то где же шквальная критика нашей банковской системы, принявшей ее на вооружение уже много лет назад», — объясняет Новиков.
Также пользователи прокомментировали и «застрявшее на этапе регистрации изображения владельца» приложение во время первого эксперимента Химича. По словам Security Analyst Softserve Максима Пидболячного, произошла ошибка алгоритма.
В качестве итога стоит привести комментарий хакера «Украинского Киберальянса» Шона Таунсенда изданию «Заборона» в 2020 году. По его словам, полноценно разобраться в безопасности приложения не получится, пока Минцифры открыто не опубликует код. Это мировая практика работы с персональными данными граждан. Например, на GitHub есть документация государственных цифровых услуг Сингапура и база украинской системы электронных публичных закупок Prozorro.
По словам Таунсенда, код приложения прошел процедуру обфускации — запутывания. Это затрудняет анализ и понимание алгоритма работы приложения. Запутывание кода — распространенная практика. Таунсенд отметил, что в случае с государственным приложением стоило наоборот все опубликовать и объяснить, почему приняли именно такие технические решения.
