Audyt aplikacji ProteGO

#1

Jest! Aplikacja na otwartym kodzie, stworzona pod auspicjami Ministerstwo Cyfryzacji.

Jak pisze ministerstwo na swojej stronie:

"Rozpoczęliśmy prace nad aplikacją, która pozwoli kontrolować i zahamować rozprzestrzenianie się koronawirusa. Przygotowuje ją grupa polskich programistów. Zależy nam, aby przed jej wdrożeniem poznać zdanie innych. Dlatego już dziś udostępniamy jej kod źródłowy.

Kod źródłowy aplikacji ProteGO dostępny jest pod adresem github.com/ProteGO-app. Swoje komentarze, uwagi i spostrzeżenia można wpisywać bezpośrednio pod nim.

Programiści i testerzy, czekamy na Wasze opinie. Możecie je wysyłać na adres protego@mc.gov.pl

Więcej:

#2

Wojtek, dzięki za przesłanie tej informacji na forum :slight_smile: Ciekawe, że w dokumentacji programu znalazło się zdanie: “Aplikacja docelowo powinna być zainstalowana przez każdego obywatela”. Dlatego teraz jest moment, aby przekazać informację zwrotną Ministerstwu. Dobrze, że Ministerstwo opublikowało kod źródłowy.

#3

Napisałem komentarz na GitHubie: https://github.com/ProteGO-app/specs/issues/31

Dziękuję za opublikowanie kodu źródłowego tej aplikacji, zanim wprowadzono obowiązek instalowania jej przez obywateli.

Mam uwagę co do wymogu, żeby włączać Bluetooth na stałe w telefonie. Taki wymóg jest dość kontrowersyjny. W przeszłości w technologii Bluetooth znajdowano wiele luk bezpieczeństwa. Dlatego wielu ekspertów bezpieczeństwa radzi wyłączać Bluetooth w miejscach publicznych. Np. następująca publikacja zgłębia tę tematykę:
https://www.researchgate.net/publication/326511381_Security_Vulnerabilities_in_Bluetooth_Technology_as_Used_in_IoT

Wybrane cytaty z tej publikacji:

“Mitigating Bluetooth vulnerabilities differ significantly from mitigating vulnerabilities in a computer system. While application software patches are used to resolve vulnerabilities in computer systems, Bluetooth devices require upgrades in device firmware [2]. These upgrades cannot be developed by the general public and/or user community [2]. Therefore, Bluetooth devices will continue to be vulnerable to attacks even if mitigation solutions become available [2,29].”

" (…) Mitigation techniques (…) Turning off a device’s Bluetooth when not needed or in use, especially while in certain public areas such as shopping malls, coffee shops, public transportation, clubs, bars, etc [2]. This can prevent users from receiving advertisements from other Bluejackers."

Pozdrawiam,
Aleksander Korzyński