"Не те, що встановлено на смартфонах": неробочий код додатку "Дія" спантеличив експертів

Міністерство цифрової трансформації України зробило код застосунку "Дія" відкритим. IT-фахівці Тимур Шемседінов та Максим Безуглий вивчили його і дійшли висновку, що це не допоможе країнам, які хочуть здійснити цифровізацію, про що розповіли на YouTube-каналі Alpha Media.

На дискусію айтішників звернули увагу телеком-експерт Роман Химич та фахівець з кібербезпеки Костянтин Корсун, які своїми висновками поділилися в соціальних мережах.

Для початку наведемо основні тези бесіди Шемседінова й Безуглого:

• код, який заявлений як код клієнтського застосунку, містить фрагменти різних версій. Зокрема, відрізняються версії для фронт- та бекенда (фронтенд — презентаційна частина застосунку, його користувацький інтерфейс і пов'язані з ним компоненти. Фронтенд застосовується у співвідношенні з базисною частиною системи, її внутрішньою реалізацією — бекендом, — ред.);
• код не виходить скомпілювати, отримавши функціонуючий екземпляр "Дії". Дослідники припускають, що за наявності підтримки з боку розробників вони могли б подолати ці перешкоди, але ті не допомагають;
• немає й документації — ні офіційної, ні робочої;
• відсутній доступ до реєстрів, тому не можна протестувати більшість функцій застосунку;
• якість коду викликає багато запитань.

"Якщо говорити по-простому, наданий код не дає змоги розв'язати жодне із завдань, які можуть уявити собі фахівці", — дійшов висновку Роман Химич.

Хіміч також нагадав і про Bug Bounty "Дії", який теж проводили за відсутності документації, підтримки та самої можливості отримати функціонуючий екземпляр застосунку. Bug Bounty — програма, за допомогою якої люди можуть отримати винагороду за знаходження помилок у кодах різних додатків.

Фахівець із кібербезпеки Костянтин Корсун, зі свого боку, зауважив, що неможливо сказати, чи ефективно було витрачено мільярди гривень на "Дію" через брак інформації, відсутність документації, невідповідність реальному коду, застарілі опубліковані дані, недоступність повного рішення.

Костянтин Корсун упевнений — той код, який зробили публічним — абсолютно даремний, і задається питанням: навіщо це взагалі зробили? На його думку, навряд чи причина в тиску з боку країн-партнерів, які хотіли, щоб Україна продемонструвала прозорість продукту. Костянтин вважає, що це було зроблено для того, щоб похвалитися тим, що Україна — сучасна і демократична, але результат здається всього лише імітацією.

"Схоже, історія повторюється: якийсь код виклали, щоб гордо заявляти: "вихідний код "Дії" є загальнодоступним", але ігнорувати зауваження: це код не тієї "Дії", яка встановлена на смартфонах українців", — підкреслив Костянтин Корсун.

За словами Тимура Шемседінова, кілька різних інститутів зі США пропонували Мінцифри виконати зовнішню експертизу "Дії", але у відомстві відмовилося від цієї пропозиції. Також айтішники акцентували увагу на тому, що уряд Естонії відмовився від ідеї використання "Дія" в процесі розробки mRiik — власного застосунку аналогічного призначення. Причому відмовився від використання не тільки коду, а й навіть дизайну та впровадження відповідних сервісів. Причинами відмови заявлено національну специфіку та деякі інші нюанси.

"Естонським підходам суперечить одна з ключових особливостей архітектури "Дія" як сервісу — ідеологія необмеженого клонування клієнтських застосунків. "Дія" не має і не може мати механізми, які б забезпечували унікальність екземпляра клієнтської програми, що має юридичну силу", — додав Роман Химич.

Він підкреслив, що "міжнародна експансія" "Дії" не вдалася, оскільки електронний паспорт нікому за межами нашої держави не потрібен, так само як і інші можливості на кшталт отримання повноцінного кваліфікованого підпису з подальшим завантаженням на власну флешку.

Раніше ми писали про те, що завдяки застосунку "Дія" українці можуть дізнатися, де знаходиться найближче укриття. З новим оновленням у застосунку з'явилася карта з найближчими укриттями і бомбосховищами, які можна впорядкувати за необхідними параметрами — наприклад, для людей з інвалідністю.