Follow

Un update su una ricerca (preliminare) dell'applicazione "DRcovid" che la regione lazio ha creato.

Premetto che considerazioni che faró sono Android-centriste, non ho i-cose in casa al momento.

Inoltre, é solo un'analisi cosiddetta "statica', analisi del codice sorgente e un po' di buon vecchio intuito forense :blobspy:

Lascio tutto in questo thread, lo aggiorneró durante la giornata se trovo altre cose carine

Let's hack some, shall we?

I permessi (1/2)
La prima cosa che é balzata all'occhio a tutti é la quantitá di permessi che chiede l'app.

Da esperienza, questa applicazione in realtá é anche abbastanza educata, ho visto cose estremamente piú aggressive, ma comunque non é proprio 'na cosa buona.

In particolare, l'uso di android.permission.CAMERA, che mi fa sempre un po' incazzare, visto che questo permesso da completo accesso alla fotocamera, invece di usare l'opzione piú sicura di utilizzare un'applicazione giá esistente sul dispositivo, grr.

In seguito, noto solite cose che mi fanno sospettare che l'app abbia qualche funzione di videochiamata/salvataggio di video in qualche modo (CAMERA,RECORD_AUDIO). Un po' sospetti invece WAKE_LOCK e RECEIVE_BOOT, che permettono rispettivamente all'app di impedire al telefono di andrare in sospensione, e di accendersi

I permessi (2/2)

automaticamente al boot del telefono. Son cose bruttine dal punto di vista della privacy, ma a parte un po' di storta del naso, se sono funzionalitá che l'applicazione offre esplicitamente, si ha sempre la libertá di non accettarle.

Queste sono tutte le "Activities", termine che nel mondo delle applicazioni android sta a corrispondere alle varie "schermate" che uno ha nell'applicazione. Ci sono altre cose oltre a queste, ma piccolezze (un metodo per leggere codici a barre, presumo per le ricette, principalmente). Da quel che vedo, é abbastanza ovvio che i permessi chiesti fino ad ora sono causati dalle funzionalitá di televisita e telesorveglianza che é pubblicizzato dall'applicazione.

In sostanza, é un metodo per visitare e monitorare pazienti potenzialmente positivi in modo remoto.

Ci sono ovvie domande riguardanti la privacy degli individui, e la frase sul sito della regione Lazio:

"Per i pazienti positivi al COVID-19 , il sistema consentirà di attivare anche un servizio di telemonitoraggio, collegandosi ad alcuni semplici dispositivi che verranno consegnati al paziente al momento della diagnosi."

Mi fa rabbrividire.

@Radamanth
Domanda scema: i permessi per interagire con l'sd sono funzionali a salvare dati in locale, in caso di mancanza di connessione internet?

@NicholasLaney

Non avendo fatto girare l'applicazione per un'analisi dinamica, non ti posso assicurare cosa salvi in locale, peró molto probabilmente si.
Anche se, lo dico sempre ai clienti cui faccio analisi, salvare roba in external storage non é mai una buona idea, non hai completo controllo di chi possa leggere e scrivere lí, é un po' il far west (almeno fino a che non uscirá finalmente android 11 che cambierá abbastanza le carte in tavola)

Sign in to participate in the conversation
Mastodon Bida.im

Un'istanza mastodon antifascista prevalentemente italofona con base a Bologna - Manifesto - Cosa non si può fare qui

An antifa mostly-italian speaking mastodon istance based in Bologna - About us - What you can't do here

Tech stuff provided by Collettivo Bida