Разделы
Материалы

Что не так с "Дія"? Киберэксперты назвали 22 существенных дефекта приложения

Специалисты считают, что приложение "Дія" недостаточно хорошо защищено, а кроме этого — собирает, хранит и обрабатывает персональные данные, которые можно перехватить во время проверки.

На днях эксперты по кибербезопасности составили и опубликовали в соцсетях документ, в котором перечисляют и поясняют уязвимости и недостатки сервиса "Дія". Публикацию разместил на своей Facebook-странице Константин Корсун, сообщает Фокус.

В документе, озаглавленном "Что не так с "Дія" специалисты в области кибербезопасности и телекома, заявляют, что приложение "Дія" "навязывают гражданам Украины как безальтернативное средство предоставления государственных электронных услуг". Эксперты утверждают, что приложение имеет ряд серьезных проблем, "как с архитектурной моделью, так и с качеством реализации".

"Украинские специалисты по кибербезопасности предупреждали о возможных проблемах еще до запуска первой версии "Дія". Отмечали серьезные недостатки также после публичного запуска этого приложения. Публично и непублично настаивали на недопустимости игнорирования существующих проблем. Но разработчики и идеологи "Дія" продолжают "не замечать" критики, и это уже приводит к реализации некоторых рисков", — говорится в документе.

Чтобы пояснить детально "что не так с приложением", эксперты собрали все факты и аргументы в единый документ, приведя такой перечень:

1. Существенные дефекты архитектуры приложения "Дія".

2. Обработка и хранение персональных данных в приложении "Дія".

3. Возможность перехвата и накопления персональных данных при проверке е-документов в приложении "Дія".

4. Возможные мошенничества с использованием "Дія".

5. Возможность следить за пользователями через приложение "Дія".

6. Риски дистанционного несанкционированного проникновения в смартфон ("взлом") с установленным приложением "Дія".

7. Невозможность самостоятельно заблокировать свой аккаунт в "Дія" (опция Opt-Out).

8. Риски фальсификации выборов в смартфоне с использованием приложения "Дія".

9. Риски "повесток через "Дія".

10. Риски отсутствия доступа к Интернету приложения "Дія".

11. Не все граждане могут пользоваться приложением "Дія".

12. Чрезмерная централизация системы и агрегация полномочий.

13. Отсутствие правил использования приложения и механизма контроля за соблюдением этих правил.

14. Игнорирование действующего законодательного регулирования с целью создания программных продуктов.

15. Создание искусственной монополии приложения "Дія".

16. Отсутствие в публичном доступе документации на приложение "Дія".

17. Отсутствие публичного доступа к исходному коду приложения "Дія".

18. Отсутствие информации о внешних независимых аудитах безопасности приложения "Дія".

19. Сомнительность объективности проведения государственной экспертизы приложения "Дія".

20. Неудовлетворительный уровень коммуникации разработчиков приложения "Дія" с пользователями и ИТ-специалистами.

21. Возможность неограниченного клонирования документов в приложении "Дія".

22. Непрозрачность порядка использования приложение "Дія" другими организациями.

Каждый пункт в документе расписан более подробно. Например, по первому пункту эксперты поясняют, что при создании приложения был нарушен один из базовых принципов в области электронной идентификации – разграничение инструментов идентификации по уровням доверия.

"Например, для идентификации пользователя высокого уровня доверия, которым должен быть владелец цифрового паспорта, в "Дія" разрешено использовать BankID – программным инструментом со средним уровнем доверия. Однако неоднократно было доказано, что BankID в нынешнем виде не обеспечивает достаточной безопасности и уязвим для примитивных атак", — говорится в документе. "В любых обстоятельствах электронный идентификационный документ, например, электронный паспорт для выезда за границу, – должен быть защищен исключительно средствами наивысшего уровня доверия, чего нельзя сказать о действующем приложении "Дія".

Это заявление подтверждается реальными случаями мошенничества, когда BankID был скомпрометирован и аферисты смогли зайти в "Дія" жертв, о чем в нескольких материалах рассказывал Фокус.

Под документом подписались Андрей Баранович, Андрей Перцюх, Артем Карпинский, Константин Корсун, Кир Важницкий, Александр Мацько и Роман Химич.

Фокус направил запрос в Министерство цифровой трансформации Украины. Следите за нашими новостями.