Un update su una ricerca (preliminare) dell'applicazione "DRcovid" che la regione lazio ha creato.
Premetto che considerazioni che faró sono Android-centriste, non ho i-cose in casa al momento.
Inoltre, é solo un'analisi cosiddetta "statica', analisi del codice sorgente e un po' di buon vecchio intuito forense
Lascio tutto in questo thread, lo aggiorneró durante la giornata se trovo altre cose carine
Let's hack some, shall we?
I permessi (1/2)
La prima cosa che é balzata all'occhio a tutti é la quantitá di permessi che chiede l'app.
Da esperienza, questa applicazione in realtá é anche abbastanza educata, ho visto cose estremamente piú aggressive, ma comunque non é proprio 'na cosa buona.
In particolare, l'uso di android.permission.CAMERA, che mi fa sempre un po' incazzare, visto che questo permesso da completo accesso alla fotocamera, invece di usare l'opzione piú sicura di utilizzare un'applicazione giá esistente sul dispositivo, grr.
In seguito, noto solite cose che mi fanno sospettare che l'app abbia qualche funzione di videochiamata/salvataggio di video in qualche modo (CAMERA,RECORD_AUDIO). Un po' sospetti invece WAKE_LOCK e RECEIVE_BOOT, che permettono rispettivamente all'app di impedire al telefono di andrare in sospensione, e di accendersi
Ci sono ovvie domande riguardanti la privacy degli individui, e la frase sul sito della regione Lazio:
"Per i pazienti positivi al COVID-19 , il sistema consentirà di attivare anche un servizio di telemonitoraggio, collegandosi ad alcuni semplici dispositivi che verranno consegnati al paziente al momento della diagnosi."
Mi fa rabbrividire.