Чи можна клонувати застосунок «Дія»? Досвід користувачів і думка експертів

Останніми днями в мережі активно обговорюють функцію клонування застосунку «Дія». У Мінцифри вважають, що це зручно, адже така функція дає можливість користуватися застосунком із різних пристроїв. Фахівці у сфері кібербезпеки з цим не згодні. Вони вважають, що так шахраї зможуть отримати доступ до документів користувачів. Редакція Vector зібрала основні деталі дискусії та думки сторін.

Як отримати доступ до чужих документів через «Дію»

25 червня 2021 року експерт із кібербезпеки Костянтин Корсун розповів, як невідомі оформили кредит на громадянку України Людмилу Ж. через застосунок «Дія. У неї не було ID-картки та реєстрації в Дії. За даними AIN.UA, зловмисники діяли за такою схемою:

• зламали пошту на ukr.net;
• отримали доступ до номера телефону, пов’язаного із зарплатною карткою;
• отримали доступ до її банківського рахунку, успішно пройшовши авторизацію поштою;
• зареєструвалися в Дії, скориставшись скомпрометованим доступом до BankID.

У підсумку зловмисники оформили на неї кредит у компанії «Мілоан» на суму 2430 грн. Це порівняно невеликі гроші, але відсотки за цією позикою становлять 9247,50 грн. У підсумку Міністерство цифрової трансформації провело внутрішнє розслідування, кредит закрили, а мікрофінансові організації відключили від «Дії.

Чи можна користуватися «Дією» одночасно на двох пристроях

20 липня експерт ринку телекомунікацій Роман Химич опублікував допис у Facebook. У ньому він розповідає про свої експерименти із застосунком «Дія», на які його наштовхнула публікація Корсуна. Химич вирішив розібратися, чи можна створити кілька повноцінних копій застосунку на різних пристроях і одночасно користуватися ними. Орфографію та пунктуацію всіх дописів у матеріалі збережено.

«Здавалося б, просте запитання, проте відсутність будь-якої документації на цю саморобку вкрай ускладнює пошук відповіді на нього. Якщо хто ще не в курсі, МЦТ [Міністерство цифрової трансформації — ред.] і ДП “Дія” не вважають за необхідне документувати державні сервіси, які вони просувають», — написав експерт.

Для цього Хіміч попросив свого сина встановити й запустити другу копію застосунку на іншому смартфоні. Експеримент провалився: «У процесі реєстрації ID-карти «Дія» спочатку успішно розпізнала NFC-чип, однак потім застрягла на етапі реєстрації зображення власника. Як виявилося, під час активації е-паспорта через реєстрацію ID-картки необхідно зареєструвати зображення його власника, фотографуючи за певним протоколом із різних ракурсів.

«Вже не знаю з якої причини, проте кілька спроб закінчилися повідомленням про помилку. Чому так сталося, з’ясувати було неможливо. Може, думав я, таким чином блокується активація другої копії. Може бути помилка алгоритму», — пише Роман.

Після цього він вивчив посібник користувача й безпосередньо уточнив існування функції клонування додатка в службі підтримки. У відомстві відповіли, що електронні документи не відображатимуться одночасно на двох пристроях. «Чому тоді спроба активації на другому пристрої не блокується одразу?», — поставив собі питання Химич. Потім він спробував клонувати «Дію» на різних пристроях за допомогою власного BankID «ПриватБанку».

«Озброївшись власною BankID «ПриватБанку», активую першу копію Дії.

У ній з’являються закордонний паспорт і податковий номер. Другу копію ставлю в захищену область пам’яті смартфона. Це, по суті, свого роду «пісочниця» (sandbox), ізольована ділянка операційної системи, у якій можна, наприклад, інсталювати другу копію програми, що не підтримує перемикання між обліковими записами. Вводжу дані BankID — вийшло! У мене на руках — одразу дві повнофункціональні копії “Дії”», — пише Роман.

Далі Химич зміг запустити третю копію «Дії» на планшеті. Він вважає, що це погана новина з погляду безпеки застосунку.

«Під час активації чергового примірника е-документів на вже встановлені копії “Дії” приходять відповідні повідомлення. Однак можливості підтвердити або відкинути цю операцію в користувача немає. Якщо справа відбувається вночі, ви дізнаєтеся про подію тільки вранці, маючи на руках купу оформлених від вашого імені кредитів. Пів години чи година — і все готово», — пояснює експерт.

Що відповіли в Мінцифри

21 липня Мінцифри прокоментувало ситуацію виданню Dev.ua. У відомстві заявили, що людину зі служби підтримки звільнили за неправдиву відповідь.

«Дійсно, це була помилка менеджера. Командам підтримки постійно проводять навчання щодо наших продуктів», — пояснив те, що відбувається, керівник із розвитку електронних послуг Мстислав Банік. Також представники Мінцифри відповіли Хімічу, що можна користуватися застосунком на двох пристроях, якщо на них пройдено авторизацію.

За словами Романа Хіміча, у такий спосіб команда відомства перетворила баг на фічу. У Мінцифри наголосили, що систему захищено належним чином. «Для того, щоб гарантувати безпеку застосунку “Дія”, ми розробили logout-авторизацію. Ми використовували технологію ФотоID. Вам достатньо зробити ідентифікацію обличчя й продовжити сесію», — повідомили в Мінцифри.

Що думають експерти

На думку начальника управління «Банку Восток» Михайла Сокола, при вході з іншого пристрою застосунок такого рівня має автоматично закривати інші сесії.

«Для створення на іншому пристрої потрібно валідуватися через BankID. Для валідації в BankID варто пройти авторизацію у своєму банку (знати банк, знати паролі + у деяких банках отримати цей пароль і мати номер телефону на руках). Відповідно авторизуватися на іншому пристрої я можу теж. З погляду безпеки, чому не викидає з іншого пристрою, це косяк однозначно», — пише Михайло.

Водночас CIO Infopulse Ukraine Євген Новіков не бачить проблеми в доступі до Дії на кількох пристроях. «Скриншот паспорта для видачі кредиту використовувати заборонено, визнання документа установою, що надає кредити, відбувається через нетривалий QR на телефоні й офіційно під’єднаний до системи Мін’юсту (чи Мінцифри, не пам’ятаю) сканер. Водночас факт сканування зберігається, і відомо, хто, коли й навіщо його зробив.

Так, телефон вкрасти можна. Але, якщо авторизація через телефон — це погано, то де ж шквальна критика нашої банківської системи, яка прийняла її на озброєння вже багато років тому», — пояснює Новіков. Також користувачі прокоментували й застосунок, який «застряг на етапі реєстрації зображення власника», під час першого експерименту Хіміча. За словами Security Analyst Softserve Максима Підболячного, сталася помилка алгоритму. У підсумку варто додати коментар хакера «Українського Кіберальянсу» Шона Таунсенда виданню «Заборона» у 2020 році.

За його словами, повноцінно розібратися в безпеці застосунку не вийде, доки Мінцифри відкрито не опублікує код. Це світова практика роботи з персональними даними громадян. Наприклад, на GitHub є документація державних цифрових послуг Сінгапуру й база української системи електронних публічних закупівель Prozorro.

За словами Таунсенда, код застосунку пройшов процедуру обфускації — заплутування. Це ускладнює аналіз і розуміння алгоритму роботи застосунку. Заплутування коду — поширена практика. Таунсенд зазначив, що у випадку з державним застосунком варто було навпаки все опублікувати й пояснити, чому ухвалили саме такі технічні рішення.