12:24
28/4/2020

Błąd w rządowej aplikacji Kwarantanna Domowa pozwala na ustalenie, czy ktoś powinien przebywać na kwarantannie. Aby to sprawdzić, wystarczy znać numer telefonu osoby.

Czy ktoś jest na kwarantannie?

Oto instrukcja sprawdzenia, czy ktoś przebywa (lub przebywał) na kwarantannie:

1. Zainstaluj oficjalną aplikację Kwarantanna Domowa w wersji na iOS lub Androida (jeśli obawiasz się instalacji “rządowej” aplikacji na swoim telefonie, możesz też zainstalować ją w maszynie wirtualnej Androida).

2. Otwórz aplikację. Zostaniesz przywitany takim ekranem:

3. Wprowadź numer telefonu osoby, którą chcesz sprawdzić. Jeśli właściciel numeru JEST lub niedawno zakończył kwarantannę, zobaczysz taki komunikat:

Jeśli właściciel danego numeru nie podlega kwarantannie, zobaczysz taki ekran:

I nie ma tu znaczenia, czy osoba na kwarantannie zainstalowała, czy nie aplikację Kwarantanna Domowa. Jeśli ktoś podlega kwarantannie, jego numer jest w bazie, którą odpytujemy powyższą aplikacją.

Takie zachowanie aplikacji, które za pomocą różnych komunikatów ujawnia stan jakiejś zmiennej nazywamy “wyrocznią“. To jeden z błędów logicznych, który może mieć negatywny wpływ nie tylko na bezpieczeństwo, ale także na prywatność danego użytkownika.

Jeśli jesteś programistą lub testerem i chcesz poznać inne błędy, jakie mogą narazić aplikacje webowych i mobilne na ataki lub wycieki danych, zapraszamy do udziału w naszym 2 dniowym szkoleniu z Atakowania i Ochrony Webaplikacji. Jest prowadzone w 100% przez internet, więc można w nim wziąć udział nawet z kwarantanny! Zarezerwuj swoje miejsce na szkoleniu już teraz, klikając tutaj.

Do czego może mi się przydać informacja, że ktoś jest lub był na kwarantannie?

To doskonałe pytanie. To że ktoś przebywa na kwarantannie nie oznacza, że jest nosicielem wirusa. A nawet jeśli faktycznie przebył infekcję, to nie oznacza, że trzeba od niego stronić. COVID-19 nie jest też niczym czego można byłoby się wstydzić, tak jak niektórzy wstydzą się chorób wenerycznych czy AIDS i w poprawnie funkcjonującym społeczeństwie, nikt nie szykanuje chorych na tę chorobę. W niepoprawnie działającym społeczeństwie, zdarzają się niestety takie patologiczne zachowania — i dlatego całkowicie rozumiemy, że część osób nie chciałaby ujawnienia faktu, że podlega lub podlegała kwarantannie.

O ile za pomocą tego mechanizmu można zweryfikować, czy osoby, z którymi mamy kontakt nie powinny — zamiast nas właśnie odwiedzać — przebywać w domu, na kwarantannie, to trzeba mieć świadomość, że system bazuje na numerach telefonów, a numer telefonu niekoniecznie jednoznacznie wskazuje daną osobę. Znamy przypadki osób, które odbyły kwarantanne podając jeden numer telefonu “na rodzinę” lub numer służbowy, a nie prywatny. Dlatego zagrożenie płynące z tej wyroczni nie wydaje nam się zbyt wielkim zagrożeniem dla prywatności, ale niesmak pozostaje.

I nie tylko niesmak. Doktor Paweł Litwiński, adwokat z kancelarii Barta Litwiński uważa, że ta wyrocznia jest problematyczna także pod kątem prawnym:

Warto też odnotować, że baza osób na kwarantannie nie działa zbyt dobrze. Przygotowując ten artykuł, przetestowaliśmy numery osób które kwarantanne już zakończyły, a wciąż są w bazie — oraz takich, które kwarantannę oficjalnie już rozpoczęły, a wciąż nie ma ich w bazie…

A może wy doszukacie się jeszcze jakiegoś zastosowania tej wyroczni? Tak czy inaczej, osobom podlegającym kwarantannie radzimy podawać w różnych rządowych bazach osobne, dedykowane numery telefonów i dedykowane adresy e-mail. Patrząc jak państwo obraca tymi danymi, trzeba założyć, że one wyciekną, tak jak zresztą już niektóre z nich powyciekały.

PS. Ten artykuł celowo nie porusza kwestii “inwigilacji” społeczeństwa przez aplikacje pomagające w walce z koronawirusem. Bo takich artykułów napisaliśmy już łącznie 6, zainteresowanych odsyłamy do lektury:

…albo do podsłuchania naszego 30 odcinka podcastu “Na Podsłuchu”, który także został poświęcony tej tematyce:

Przeczytaj także:



34 komentarzy

Dodaj komentarz
  1. Można to też wykorzystać do zebrania numerów telefonów osób, od których można spróbować wyłudzić dane. “Dzień dobry, tu Adam Kowalski z sanepidu. Dzwonię w związku z odbywaną przez Pana/Panią kwarantanną, (tu jakiś bullshit typu: mamy wyniki badań) ale musimy upewnić się że rozmawiamy z Panem (bo RODO), poproszę o numer dowodu, datę urodzenia…”.

    • I zapewne ktoś się na to złapie i straci. Pytanie tylko kto weźmie się w garść i zabierze się za łatanie tego problemu? Zapewne nikt, bo dla nich to nie jest rażące…

    • A czy dałoby się napisać jakiś program, który sam próbowałaby różnych kombinacji nr telefonów (albo wszystkich) ? Wtedy można by znaleźć wszystkich którzy powinni mieć kwarantannę co daje dobra okazję do ataku SMS. Jeżeli wszyscy by go dostali wyglądało by to legitnie ?
      Tak pytam z ciekawości ? ;)

    • O tym samym pomyślałem. Albo te rożne ataki masowe z podstawioną bramką płatności, chociaż tutaj pewnie mniejsze ryzyko, bo trzeba by o dużo numerów telefonów odpytać żeby to robić z automatu.

  2. W zaskakującym zwrocie akcji aplikacja ProteGO Safe w świeżutkiej wersji 3.0.1 zawiera implementację protokołu OpenTrace, która nadaje niezbyt unikalny identyfikator o treści “Missing TempID”
    (https://www.informatykzakladowy.pl)

  3. Apka nie do końca działa a przynajmniej baza danych. Mam z dziewczyną kwarantannę, na granicy numery tel podaliśmy a od tygodnia pokazuje że nie ma informacji o mnie :)

  4. Pan Doktor Paweł Litwiński popełnił pewien błąd logiczny. Aplikacja nie przekazuje żadnych informacji o stanie zdrowia. To, że ktoś podlega / podlegał kwarantannie nie oznacza, że jest chory.

  5. Czyli teraz tylko czekac na wersje na HIV (“w koncu to dla spolecznego dobra”).

  6. Na moje, to ta appka musi do jakiegos backendu po te dane sięgać. Jeszcze nikt nie zrobił MitM i nie znalazl jak się dobrać do API bez appki? :>

    • Ciiii ;)

    • Zrobił zrobił, wystarczy sobie załadować APK do Android Studio i popatrzeć z jakim backendem się komunikuje.

  7. przepraszam, czy w 2020r dla autora AIDS jest powodem do wstydu? nie szerzmy ciemnogrodu…

    • To pochwal sie adasiem w pcimiu…

      Jest jak jest.

    • Czy dla autora komentarza czytanie ze zrozumieniem jest powodem do wstydu?

    • Masz rację, to powód do dumy…

      Informacja o każdej posiadanej chorobie (nawet te które z definicji nie są ‘zakaźne’) dla przeciętnego człowieka jest czymś prywatnym i raczej ukrywanym. Powiązanie numeru telefonu z chorobą w taki sposób jak w tym przypadku to coś co w USA (HIPAA) nazywa się “Personally Identifiable Information” i taki ‘wyciek’ w zupełności wystarczy, aby posypały się odszkodowania. U nas oczywiście nic się nie wydarzy bo poszanowanie dla danych osobowych, biometrycznych etc nie istnieje a prawo i kary przewidziane są smieśzne. Straszenie RODO nie pomoże

    • Do wstydu nie. Do szantażu lub choćby rozpętania kampanii unikania już tak.

  8. A czy dałoby się napisać jakiś program, który sam próbowałaby różnych kombinacji nr telefonów (albo wszystkich) ? Wtedy można by znaleźć wszystkich którzy powinni mieć kwarantannę co daje dobra okazję do ataku SMS. Jeżeli wszyscy by go dostali wyglądało by to legitnie ?

    Tak pytam z ciekawości ? ;)

    • Oczywiście, że by się dało. Kwestia dobrania prędkości wysyłania zapytań, żeby serwer nas nie wywalił (o ile pokuszono się o takie zabezpieczenia ;)).

    • Mam nadzieję że ktoś zaspamuje jakimiś głupimi ale nieszkodliwymi esemesami wszystkich na kwarantannie.
      Może wtedy ludzie zrozumieją, że wszystkie dane jakie komuś podali – zwłaszcza podmiotowi tak głupiemu i niekompetentnemu jak obecny rząd – mogą łatwo wyciec.

  9. A jeżeli ktoś połączy to z bazą morele i zrobi bota to imię i nazwisko już ma. Z drugiej strony taki błąd może pomoc w stworzeniu wiarygodnych statystyk ile osób w danym obszarze jest na kwarantannie.

  10. Nie próbował ktoś małego reverse engineeringu żeby sprawdzić jak to odpytać bez aplikacji?

  11. a testowal to ktos przez proxy zeby sobie sprawdzic jak appka rozmawia z serverem ? ciekaw jestem co fajnego mozna by wyciagnac i do jakich baz danych sie wlamac, moglym niby to zrobic ale zapewne trzeba bedzie sie tentego z pinningiem certyfikatow (w praktyce zapewne dodawania wlasnego do appki a nie chce mi sie ;d) no i nie mam swiezego numeru na poswiecenie bo swojego to ja im napewno nie dam xD chociaz fajnie by bylo tak polatac w ciagu 5 minut z Polski do Rzymu, Nowego Jorku i Pekinu, fajny mindfuck by mieli tam na Policji xD…

  12. Trzeba by zaznaczyć, że aplikacja dotyczy osób na kwarantannie, które wróciły do ojczyzny z innych krajów…

  13. Ja tylko jednak rzeczy pojąć nie mogę: dlaczego aplikacja stworzona dla Polaków wita nas po angielsku??

    • Zgaduję, że po prostu respektuje lokale klienta?

    • Osobiście uważam to za świetną opcję – bardzo denerwują mnie aplikacje, które nie mają opcji języka angielskiego. Dziwnie wygląda gdy masz ustawiony telefon i 99% aplikacji po angielsku i jest ta jedna która komunikuje się z tobą tylko po polsku.

  14. Z napisaniem takiego programu nie ma problemu. Piszesz apkę, która:
    Wariant 1:
    a) przesyła sekwencje klawiszy do okna wirtualnej maszyny
    b) sprawdza jak zmieniło się tło ekranu VM.

    Wariant 2:
    a) podsłuchujesz ruch z Apki jakimś proxy + wygenerowany certyfikat SSL (np. Fiddler).
    b) tworzysz skrypt, który wysyła kolejne zapytania z nowym numerem (np. Fiddler).
    c) analizujesz treść odpowiedzi.

  15. Dajcie spokój. To nie jest informacja o stanie zdrowia tylko tym czy ktoś powinien siedzieć w domu.
    Równie dobrze kontrolująca regularnie policja czy strażacy są informacją o stanie zdrowia. Czy to tez powód do wstydu? Mam wrażenie że większość panikujących jest z jakiegoś zakompleksionego zadupia.

  16. Tymczasem wyciekły wzory kart do głosowania w wyborach

    https://www.fakt.pl/wydarzenia/polityka/wybory-korespondencyjne-wyciekly-pakiety-wyborcze/crq4n25

  17. […] Od kilku tygodni organy rządowe dwoją się i troją w próbie zapanowania nad pandemią COVID-19 za pomocą narzędzi informatycznych. Pierwszą próbą była aplikacja „Kwarantanna Domowa” stworzona dla Ministerstwa Cyfryzacji. Narzędzie przygotowane w trzy dni (udało się tego dokonać poprzez wykorzystanie istniejącej aplikacji służącej do zupełnie innych celów) za 2,5 mln złotych (bez przetargu na bazie nowej, „covidowej” ustawy o zamówieniach publicznych) sieje błędami i ma problemy z prywatnością. […]

  18. stary dobry numer :D następnie wpisujemy numer na facebooku. Klikamy “Nie pamiętasz hasła?” wyświetla się nazwa konta imię, nazwisko oraz główne zdjęcie.

  19. Trezba napisać aplikację sprawdzajacą telefoy i sprzedawać firmom kurierskim/kurierom.
    A najlepiej zintsgrować z ich systemem żeby kurierzy i od razu widzieli że osoba która ma ten telefon i dla której maja paczkę jest na kwarantannie. Wtedy nie będą się wylewnie wirtać i dziękować za napiwki :)

  20. […] Zastanawialiśmy się więc, czy ktoś nie wykorzystał przypadkiem opisywanego przez nas niedawno błędu dotyczącego prywatności w aplikacji Kwarantanna Domowa, który umożliwia sprawdzenie, czy dany numer jest — czy nie jest — osobą na […]

  21. TO JEST BZDURA LUDZIE MAJĄ PO KILKA NUMERÓW TELEFONU. SKĄD WIADOMO KTÓRY PODAŁ? I CZY ZNASZ WSZYSTKIE?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: