"Не то, что установлено на смартфонах": нерабочий код приложения "Дія" озадачил экспертов

приложение Дія, приложение Дия, смартфон
Фото: diia.gov.ua | Код приложения "Дія" сделали открытым

Специалисты в сфере IT, кибербезопасности и телекоммуникаций изучили открытый код и обнаружили, что он не компилируется и фактически бесполезен для решения каких-либо задач.

Министерство цифровой трансформации Украины сделало код приложения "Дія" открытым. IT-специалисты Тимур Шемсединов и Максим Безуглый изучили его и пришли к выводу, что это не поможет странам, которые хотят осуществить цифровизацию, о чем рассказали на YouTube-канале Alpha Media.

На дискуссию айтишников обратили внимание телеком-эксперт Роман Химич и специалист по кибербезопасности Константин Корсун, которые своими выводами поделились в социальных сетях.

Для начала приведем основные тезисы беседы Шемсединова и Безуглого:

  • код, который заявлен как код клиентского приложения, содержит фрагменты разных версий. В частности, отличаются версии для фронт- и бэкенда (фронтенд — презентационная часть приложения, его пользовательский интерфейс и связанные с ним компоненты. Фронтенд применяется в соотношении с базисной частью системы, ее внутренней реализацией — бэкендом, — ред.);
  • код не получается скомпилировать, получив функционирующий экземпляр "Дії". Исследователи предполагают, что при наличии поддержки со стороны разработчиков они могли бы преодолеть эти препятствия, но те не помогают;
  • нет и документации — ни официальной, ни рабочей;
  • отсутствует доступ к реестрам, поэтому нельзя протестировать большинство функций приложения;
  • качество кода вызывает много вопросов.

"Если говорить по-простому, предоставленный код не позволяет решить ни одну из задач, которые могут представить себе специалисты", — пришел к выводу Роман Химич.

Химич также напомнил и о Bug Bounty "Дії", который тоже проводился при отсутствии документации, поддержки и самой возможности получить функционирующий экземпляр приложения. Bug Bounty — программа, с помощью которой люди могут получить вознаграждение за нахождение ошибок в кодах разных приложений.

Специалист по кибербезопасности Константин Корсун, в свою очередь, заметил, что невозможно сказать, эффективно ли были потрачены миллиарды гривен на "Дію" из-за нехватки информации, отсутствия документации, несоответствия реальному коду, устаревших опубликованных данных, недоступности полного решения.

Константин Корсун уверен — тот код, который сделали публичным – совершенно бесполезен, и задается вопросом: зачем это вообще сделали? По его мнению, вряд ли причина в давлении со стороны стран-партнеров, которые хотели, чтобы Украина продемонстрировала прозрачность продукта. Константин полагает, что это было сделано для того, чтобы похвастаться тем, что Украина — современная и демократичная, но результат кажется всего лишь имитацией.

"Похоже, история повторяется: какой-то код выложили, чтобы гордо заявлять "исходный код "Дії" общедоступен", но игнорировать замечание: это код не той "Дії", которая установлена на смартфонах украинцев", — подчеркнул Константин Корсун.

По словам Тимура Шемсединова, несколько разных институтов из США предлагали Минцифры выполнить внешнюю экспертизу "Дии", но в ведомстве отказалось от этого предложения. Также айтишники акцентировали внимание на том, что правительство Эстонии отказалось от идеи использования "Дія" в процессе разработки mRiik — собственного приложения аналогичного назначения. Причем отказался от использования не только кода, но даже дизайна и внедрения соответствующих сервисов. Причинами отказа заявлена национальная специфика и некоторые другие нюансы.

"Эстонским подходам противоречит одна из ключевых особенностей архитектуры "Дія" как сервиса — идеология неограниченного клонирования клиентских приложений. "Дія" не имеет и не может иметь механизмы, обеспечивающие уникальность экземпляра клиентской программы, которая имеет юридическую силу", — добавил Роман Химич.

Важно
"Военный билет в "Дії": Федоров заявил о новом проекте Минцифры и Минобороны (Обновлено)

Он подчеркнул, что "международная экспансия" "Дії" не удалась, поскольку электронный паспорт никому за пределами нашего государства не нужен, так же как и другие возможности вроде получения полноценной квалифицированной подписи с последующей загрузкой на собственную флешку.

Ранее мы писали о том, что благодаря приложению в "Дія" украинцы могут узнать, где находится ближайшее укрытие. С новым обновлением в приложении появилась карта с ближайшими укрытиями и бомбоубежищами, которые можно отсортировать по необходимым параметрам — к примеру, для людей с инвалидностью.