"Не то, что установлено на смартфонах": нерабочий код приложения "Дія" озадачил экспертов
Специалисты в сфере IT, кибербезопасности и телекоммуникаций изучили открытый код и обнаружили, что он не компилируется и фактически бесполезен для решения каких-либо задач.
Министерство цифровой трансформации Украины сделало код приложения "Дія" открытым. IT-специалисты Тимур Шемсединов и Максим Безуглый изучили его и пришли к выводу, что это не поможет странам, которые хотят осуществить цифровизацию, о чем рассказали на YouTube-канале Alpha Media.
На дискуссию айтишников обратили внимание телеком-эксперт Роман Химич и специалист по кибербезопасности Константин Корсун, которые своими выводами поделились в социальных сетях.
Для начала приведем основные тезисы беседы Шемсединова и Безуглого:
- код, который заявлен как код клиентского приложения, содержит фрагменты разных версий. В частности, отличаются версии для фронт- и бэкенда (фронтенд — презентационная часть приложения, его пользовательский интерфейс и связанные с ним компоненты. Фронтенд применяется в соотношении с базисной частью системы, ее внутренней реализацией — бэкендом, — ред.);
- код не получается скомпилировать, получив функционирующий экземпляр "Дії". Исследователи предполагают, что при наличии поддержки со стороны разработчиков они могли бы преодолеть эти препятствия, но те не помогают;
- нет и документации — ни официальной, ни рабочей;
- отсутствует доступ к реестрам, поэтому нельзя протестировать большинство функций приложения;
- качество кода вызывает много вопросов.
"Если говорить по-простому, предоставленный код не позволяет решить ни одну из задач, которые могут представить себе специалисты", — пришел к выводу Роман Химич.
Химич также напомнил и о Bug Bounty "Дії", который тоже проводился при отсутствии документации, поддержки и самой возможности получить функционирующий экземпляр приложения. Bug Bounty — программа, с помощью которой люди могут получить вознаграждение за нахождение ошибок в кодах разных приложений.
Специалист по кибербезопасности Константин Корсун, в свою очередь, заметил, что невозможно сказать, эффективно ли были потрачены миллиарды гривен на "Дію" из-за нехватки информации, отсутствия документации, несоответствия реальному коду, устаревших опубликованных данных, недоступности полного решения.
Константин Корсун уверен — тот код, который сделали публичным – совершенно бесполезен, и задается вопросом: зачем это вообще сделали? По его мнению, вряд ли причина в давлении со стороны стран-партнеров, которые хотели, чтобы Украина продемонстрировала прозрачность продукта. Константин полагает, что это было сделано для того, чтобы похвастаться тем, что Украина — современная и демократичная, но результат кажется всего лишь имитацией.
"Похоже, история повторяется: какой-то код выложили, чтобы гордо заявлять "исходный код "Дії" общедоступен", но игнорировать замечание: это код не той "Дії", которая установлена на смартфонах украинцев", — подчеркнул Константин Корсун.
По словам Тимура Шемсединова, несколько разных институтов из США предлагали Минцифры выполнить внешнюю экспертизу "Дии", но в ведомстве отказалось от этого предложения. Также айтишники акцентировали внимание на том, что правительство Эстонии отказалось от идеи использования "Дія" в процессе разработки mRiik — собственного приложения аналогичного назначения. Причем отказался от использования не только кода, но даже дизайна и внедрения соответствующих сервисов. Причинами отказа заявлена национальная специфика и некоторые другие нюансы.
"Эстонским подходам противоречит одна из ключевых особенностей архитектуры "Дія" как сервиса — идеология неограниченного клонирования клиентских приложений. "Дія" не имеет и не может иметь механизмы, обеспечивающие уникальность экземпляра клиентской программы, которая имеет юридическую силу", — добавил Роман Химич.
Он подчеркнул, что "международная экспансия" "Дії" не удалась, поскольку электронный паспорт никому за пределами нашего государства не нужен, так же как и другие возможности вроде получения полноценной квалифицированной подписи с последующей загрузкой на собственную флешку.
Ранее мы писали о том, что благодаря приложению в "Дія" украинцы могут узнать, где находится ближайшее укрытие. С новым обновлением в приложении появилась карта с ближайшими укрытиями и бомбоубежищами, которые можно отсортировать по необходимым параметрам — к примеру, для людей с инвалидностью.