Powiadomienie "Masz pozytywny wynik testu"

[jasisz]

Dlaczego coś takiego puściliście? Nie zrobiłem screena, ale tak to właśnie wyglądało w notyfikacjach. Nawet po przeczytaniu reszty chwilę musiałem się zastanowić o co właściwie chodzi w tym komunikacie...

Rodzi się tez drugie pytanie - na którym etapie do ProteGO-Safe dodano możliwość wysyłania dowolnych powiadomień?

[potiuk]

@jasisz - możesz napisać coś więcej? To jest bardzo niepokojące, bo niby skąd ProteGO Safe ma wiedzieć o pozytywnym wyniku testu

[tomekziel]

Pewnie chodzi o powiadomienie:

Dobór słów istotnie taki średni.

[pkleczko]

Zgadza się, dobór słów w tym przypadku nie był najlepszy i przy kolejnych wysyłkach będziemy się starali takich wątpliwości unikać. Treść nie jest tworzona przez zespół deweloperski.

Co do pytania o pushe - są od bardzo dawna wdrożone, były intensywnie używane na początku i przypominały o wypełnieniu Testu Oceny Ryzyka / Dzienniczka Zdrowia.

[jasisz]

@pkleczko Dzięki, dokumentacja wspominała jedynie o:

Użytkownik odbiera notyfikacje push przypominające o potrzebie wypełnienia testu oceny ryzyka.

A wychodzi na to, że powiadomienia są dowolne i pominięto ten fakt w dokumentacji i audytach.

[potiuk]

No faktycznie - zajrzalem do raportu prywatności i nie ma w nim ani słowa o powiadomieniach push. to chyba jakieś niedopatrenie. @PawelLitwinski - to chyba jakieś niedopatrzenie. Dam znać Panoptykonowi, może na to spojrzą a tymczasem @MateuszRomanow - być może warto żebyście się temu przyjrzeli, czy przypadkiem nie trzeba zrobić poprawi do audytu.

[MateuszRomanow]

To nie błąd, to feature ;)

A poważnie, @potiuk zgłosiłem już ten temat do LEG żeby to zweryfikować i w razie potrzeby zaktuaizować i dodać w odpowiednie miejsca.

[Dr-Kownacki]

Jak to jest autoryzowane - że to telefon tej osoby a nie kogoś innego załaduje "niewinne" klucze jako "zakażone" ???

Czy PIN działa tylko raz (jeden PIN - jeden upload) ?

Czy jeden PIN to "jeden telefon" - i skąd wiadomo który jeżeli duzy wysiłek byl postawiony na prywatność ?

A jeżeli osoba zakażona ma kilka telefonów to czy dostanie kilka PINów ?

Nawet jeżeli autoryzacja jest przez SMS to kartę SIM można przełożyć / sklonować / eSIM-ować...

Pozdrawiam.

[pkleczko]

@Dr-Kownacki wykonując test w laboratorium musisz podać numer telefonu, tego nie da się uniknąć. Pod takim numer telefonu w przypadku pozytywnego wyniku dzwoni operator i przekazuje kod PIN do uploadu - tylko jeden. Ten kod pobiera losowo z naszego systemu (Backend). Kod ważny jest 30 minut i jest jednorazowy. Osoba która dostaje kod może wgrać klucze z dowolnej aplikacji, nie mamy żadnej weryfikacji której i nie chcemy mieć. Również kod nie jest w żadnym z systemów powiązywany z numerem telefonu, w szczególności w naszym (kod backend jest opublikowany na GH). Musimy liczyć na odpowiedzialność społeczną w tym rozwiązaniu, nie ma innego wyjścia.

Daj znać czy to odpowiada na wątpliwości

[Dr-Kownacki]

Jasne, jest to jednak "luka", stąd może jakiś hash oparty o PESEL i nr telefonu który odblokowywalby wysyłkę dopiero po SMS "zwrotnym" ... (?) takie tam pomysły hackera z Allegro ;-)

[Dr-Kownacki]

A myśleliście o integracji i "automacie" z tym serwerem głównym:

https://rejestrcovid.mz.gov.pl

który obsługuje cały kraj więc jakim problemem byłaby bramka SMS dedykowana niezależnie od "operatora" ???

[Dr-Kownacki]

A może "lokalnie" do obsługi hasha wykorzystać IMEI, czyli podczas instalacji na początku LOKALNIE powiązany jest numer telefonu i IMEI i potem "nie da się" wyciąć numeru i przełożyć karty SIM.

Tu od razu pytanie o eSIMy poklonowane, bo kolejny problem byłby. Co myślicie ?

[potiuk]

A tak z ciekawości jaki problem konkretnie chcesz rozwiązać @Dr-Kownacki ? Jaki scenariusz to miało by uniemożliwić ? Wygląda to trochę jak zabawa z prywatnością a przy obecnym poziomie zaufania i instalacji raczej martwiłbym się tym że 1%-2% pokrycia a nie tym że ktoś będzie specjalnie przekładał kartę SIM.

Na większości telefonów nie masz dostępu do numeru IMEI czy numeru telefonu ze względu na prywatność. W niektórych przypadkach aplikacja może poprosić o dostęp do wrażliwych danych. Czy uważasz, że coś takiego pomogło by w budowaniu zaufania do aplikacji (tak już mocno podminowanego działaniami ministerstwa) ?

[potiuk]

@MateuszRomanow -> czy wiadomo coś na temat tego potencjalnego naruszenia prywatnośći którego dotyczył ten wątek (czyli push notification)?

[Dr-Kownacki]

@potiuk : tu nie chodzi per-se o ten konkretny wrażliwy case aplikacji tej konkretnej (zaufanie etc.wiadomo), raczej pytanie otwarte (do Was - fachowców) jak tę lukę potencjalną zabezpieczyć co do zasady. Jaki mechanizm/fingerprint (może byc inny niż IMEI), po prostu co może być "kluczem" i jaki algorytm.

No i czy eSIM to jest wyzwanie przy potwierdzaniu "z serwera" SMS czy nie (?)

[Dr-Kownacki]

Co myślicie:

Kluczem wspólnym (dla użytkownika i serwera) będą trzy ostatnie cyfry numeru telefonu: ABC "Stałą urządzenia" pierwsze 4 cyfry IMEI. DEFG

Kod do odblokowania uploade'u to byłby PIN x ABC, bo to Sanepid zna i sami ku podajemy.a drugie (PIN) bierze z serwera losowo.

Telefon z aplikacją jest "sparowany z numerem telefonu" na przykład ABCxCDEF j.w. taki fingerprint LOKALNY.

No i teraz chyba można to i zabezpieczyć a jednocześnie tej prywatności nie utracić, @potiuk ? Czy to byłoby OK jako punkt wyjścia do algorytmu ???

[tomekziel]

Rozwiązanie w poszukiwaniu problemu...

[Dr-Kownacki]

Całkiem serio @tomekziel , jesteś ekspertem - czy Twoim zdaniem fakt że dowolna osoba posiadająca PIN może autoryzować upload swoich kluczy z dowolnego urządzenia jest Twoim zdaniem problemem czy nie ?

Bo ja już wymyśliłem kilka scenariuszy jak ktoś mogły to (niecnie) wykorzystać ;-)))

[tomekziel]

Nie jest problemem.

Jakiekolwiek scenariusze związane z ProteGo Safe nie mają żadnego znaczenia wobec tych scenariuszy, które w najbliższych tygodniach będą się realizować na naszych oczach w systemie opieki zdrowotnej.

[potiuk]

@tomekziel -> I tu się w 100% zgadzam.

Można do bólu dyskutować o wydumanych problemach które nie mają żadnego znaczenia. Pierwsza zasada tworzenia oprogoramowania to rozwiązywać faktyczne problemy a nie teoretyczne scenariusze które stanowią promil problemu.

[olekstomek]

Off-topic od głównej dyskusji w tym wątku: o ile pamiętam w aplikacji Androidowej ten message alert zawierał numer telefonu pod który można dzwonić ale nie był "klikalny" - po kliknięciu w numer w tym alercie mógłby otwierać się dialer telefonu i tym samym możliwość zadzwonienia.