Un update su una ricerca (preliminare) dell'applicazione "DRcovid" che la regione lazio ha creato.
Premetto che considerazioni che faró sono Android-centriste, non ho i-cose in casa al momento.
Inoltre, é solo un'analisi cosiddetta "statica', analisi del codice sorgente e un po' di buon vecchio intuito forense
Lascio tutto in questo thread, lo aggiorneró durante la giornata se trovo altre cose carine
Let's hack some, shall we?
Queste sono tutte le "Activities", termine che nel mondo delle applicazioni android sta a corrispondere alle varie "schermate" che uno ha nell'applicazione. Ci sono altre cose oltre a queste, ma piccolezze (un metodo per leggere codici a barre, presumo per le ricette, principalmente). Da quel che vedo, é abbastanza ovvio che i permessi chiesti fino ad ora sono causati dalle funzionalitá di televisita e telesorveglianza che é pubblicizzato dall'applicazione.
In sostanza, é un metodo per visitare e monitorare pazienti potenzialmente positivi in modo remoto.
Ci sono ovvie domande riguardanti la privacy degli individui, e la frase sul sito della regione Lazio:
"Per i pazienti positivi al COVID-19 , il sistema consentirà di attivare anche un servizio di telemonitoraggio, collegandosi ad alcuni semplici dispositivi che verranno consegnati al paziente al momento della diagnosi."
Mi fa rabbrividire.
I permessi (1/2)
La prima cosa che é balzata all'occhio a tutti é la quantitá di permessi che chiede l'app.
Da esperienza, questa applicazione in realtá é anche abbastanza educata, ho visto cose estremamente piú aggressive, ma comunque non é proprio 'na cosa buona.
In particolare, l'uso di android.permission.CAMERA, che mi fa sempre un po' incazzare, visto che questo permesso da completo accesso alla fotocamera, invece di usare l'opzione piú sicura di utilizzare un'applicazione giá esistente sul dispositivo, grr.
In seguito, noto solite cose che mi fanno sospettare che l'app abbia qualche funzione di videochiamata/salvataggio di video in qualche modo (CAMERA,RECORD_AUDIO). Un po' sospetti invece WAKE_LOCK e RECEIVE_BOOT, che permettono rispettivamente all'app di impedire al telefono di andrare in sospensione, e di accendersi