Un update su una ricerca (preliminare) dell'applicazione "DRcovid" che la regione lazio ha creato.

Premetto che considerazioni che faró sono Android-centriste, non ho i-cose in casa al momento.

Inoltre, é solo un'analisi cosiddetta "statica', analisi del codice sorgente e un po' di buon vecchio intuito forense

Lascio tutto in questo thread, lo aggiorneró durante la giornata se trovo altre cose carine

Let's hack some, shall we?

I permessi (1/2)
La prima cosa che é balzata all'occhio a tutti é la quantitá di permessi che chiede l'app.

Da esperienza, questa applicazione in realtá é anche abbastanza educata, ho visto cose estremamente piú aggressive, ma comunque non é proprio 'na cosa buona.

In particolare, l'uso di android.permission.CAMERA, che mi fa sempre un po' incazzare, visto che questo permesso da completo accesso alla fotocamera, invece di usare l'opzione piú sicura di utilizzare un'applicazione giá esistente sul dispositivo, grr.

In seguito, noto solite cose che mi fanno sospettare che l'app abbia qualche funzione di videochiamata/salvataggio di video in qualche modo (CAMERA,RECORD_AUDIO). Un po' sospetti invece WAKE_LOCK e RECEIVE_BOOT, che permettono rispettivamente all'app di impedire al telefono di andrare in sospensione, e di accendersi

I permessi (2/2)

automaticamente al boot del telefono. Son cose bruttine dal punto di vista della privacy, ma a parte un po' di storta del naso, se sono funzionalitá che l'applicazione offre esplicitamente, si ha sempre la libertá di non accettarle.