Powiadomienie "Masz pozytywny wynik testu" #235
Comments
|
@jasisz - możesz napisać coś więcej? To jest bardzo niepokojące, bo niby skąd ProteGO Safe ma wiedzieć o pozytywnym wyniku testu |
|
Pewnie chodzi o powiadomienie:
Dobór słów istotnie taki średni. |
|
Zgadza się, dobór słów w tym przypadku nie był najlepszy i przy kolejnych wysyłkach będziemy się starali takich wątpliwości unikać. Treść nie jest tworzona przez zespół deweloperski. Co do pytania o pushe - są od bardzo dawna wdrożone, były intensywnie używane na początku i przypominały o wypełnieniu Testu Oceny Ryzyka / Dzienniczka Zdrowia. |
|
@pkleczko Dzięki, dokumentacja wspominała jedynie o:
A wychodzi na to, że powiadomienia są dowolne i pominięto ten fakt w dokumentacji i audytach. |
|
No faktycznie - zajrzalem do raportu prywatności i nie ma w nim ani słowa o powiadomieniach push. to chyba jakieś niedopatrenie. @PawelLitwinski - to chyba jakieś niedopatrzenie. Dam znać Panoptykonowi, może na to spojrzą a tymczasem @MateuszRomanow - być może warto żebyście się temu przyjrzeli, czy przypadkiem nie trzeba zrobić poprawi do audytu. |
|
To nie błąd, to feature ;) A poważnie, @potiuk zgłosiłem już ten temat do LEG żeby to zweryfikować i w razie potrzeby zaktuaizować i dodać w odpowiednie miejsca. |
|
Jak to jest autoryzowane - że to telefon tej osoby a nie kogoś innego załaduje "niewinne" klucze jako "zakażone" ??? Czy PIN działa tylko raz (jeden PIN - jeden upload) ? Czy jeden PIN to "jeden telefon" - i skąd wiadomo który jeżeli duzy wysiłek byl postawiony na prywatność ? A jeżeli osoba zakażona ma kilka telefonów to czy dostanie kilka PINów ? Nawet jeżeli autoryzacja jest przez SMS to kartę SIM można przełożyć / sklonować / eSIM-ować... Pozdrawiam. |
|
@Dr-Kownacki wykonując test w laboratorium musisz podać numer telefonu, tego nie da się uniknąć. Pod takim numer telefonu w przypadku pozytywnego wyniku dzwoni operator i przekazuje kod PIN do uploadu - tylko jeden. Ten kod pobiera losowo z naszego systemu (Backend). Kod ważny jest 30 minut i jest jednorazowy. Osoba która dostaje kod może wgrać klucze z dowolnej aplikacji, nie mamy żadnej weryfikacji której i nie chcemy mieć. Również kod nie jest w żadnym z systemów powiązywany z numerem telefonu, w szczególności w naszym (kod backend jest opublikowany na GH). Musimy liczyć na odpowiedzialność społeczną w tym rozwiązaniu, nie ma innego wyjścia. Daj znać czy to odpowiada na wątpliwości |
|
Jasne, jest to jednak "luka", stąd może jakiś hash oparty o PESEL i nr telefonu który odblokowywalby wysyłkę dopiero po SMS "zwrotnym" ... (?) |
|
A myśleliście o integracji i "automacie" z tym serwerem głównym: https://rejestrcovid.mz.gov.pl który obsługuje cały kraj więc jakim problemem byłaby bramka SMS dedykowana niezależnie od "operatora" ??? |
|
A może "lokalnie" do obsługi hasha wykorzystać IMEI, czyli podczas instalacji na początku LOKALNIE powiązany jest numer telefonu i IMEI i potem "nie da się" wyciąć numeru i przełożyć karty SIM. Tu od razu pytanie o eSIMy poklonowane, bo kolejny problem byłby. Co myślicie ? |
|
A tak z ciekawości jaki problem konkretnie chcesz rozwiązać @Dr-Kownacki ? Jaki scenariusz to miało by uniemożliwić ? Wygląda to trochę jak zabawa z prywatnością a przy obecnym poziomie zaufania i instalacji raczej martwiłbym się tym że 1%-2% pokrycia a nie tym że ktoś będzie specjalnie przekładał kartę SIM. Na większości telefonów nie masz dostępu do numeru IMEI czy numeru telefonu ze względu na prywatność. W niektórych przypadkach aplikacja może poprosić o dostęp do wrażliwych danych. Czy uważasz, że coś takiego pomogło by w budowaniu zaufania do aplikacji (tak już mocno podminowanego działaniami ministerstwa) ? |
|
@MateuszRomanow -> czy wiadomo coś na temat tego potencjalnego naruszenia prywatnośći którego dotyczył ten wątek (czyli push notification)? |
|
@potiuk : tu nie chodzi per-se o ten konkretny wrażliwy case aplikacji tej konkretnej (zaufanie etc.wiadomo), raczej pytanie otwarte (do Was - fachowców) jak tę lukę potencjalną zabezpieczyć co do zasady. Jaki mechanizm/fingerprint (może byc inny niż IMEI), po prostu co może być "kluczem" i jaki algorytm. No i czy eSIM to jest wyzwanie przy potwierdzaniu "z serwera" SMS czy nie (?) |
|
Co myślicie: Kluczem wspólnym (dla użytkownika i serwera) będą trzy ostatnie cyfry numeru telefonu: ABC Kod do odblokowania uploade'u to byłby PIN x ABC, bo to Sanepid zna i sami ku podajemy.a drugie (PIN) bierze z serwera losowo. Telefon z aplikacją jest "sparowany z numerem telefonu" na przykład ABCxCDEF j.w. taki fingerprint LOKALNY. No i teraz chyba można to i zabezpieczyć a jednocześnie tej prywatności nie utracić, @potiuk ? Czy to byłoby OK jako punkt wyjścia do algorytmu ??? |
|
Rozwiązanie w poszukiwaniu problemu... |
|
Całkiem serio @tomekziel , jesteś ekspertem - czy Twoim zdaniem fakt że dowolna osoba posiadająca PIN może autoryzować upload swoich kluczy z dowolnego urządzenia jest Twoim zdaniem problemem czy nie ? Bo ja już wymyśliłem kilka scenariuszy jak ktoś mogły to (niecnie) wykorzystać ;-))) |
|
Nie jest problemem. Jakiekolwiek scenariusze związane z ProteGo Safe nie mają żadnego znaczenia wobec tych scenariuszy, które w najbliższych tygodniach będą się realizować na naszych oczach w systemie opieki zdrowotnej. |
|
@tomekziel -> I tu się w 100% zgadzam. Można do bólu dyskutować o wydumanych problemach które nie mają żadnego znaczenia. Pierwsza zasada tworzenia oprogoramowania to rozwiązywać faktyczne problemy a nie teoretyczne scenariusze które stanowią promil problemu. |
|
Off-topic od głównej dyskusji w tym wątku: o ile pamiętam w aplikacji Androidowej ten message alert zawierał numer telefonu pod który można dzwonić ale nie był "klikalny" - po kliknięciu w numer w tym alercie mógłby otwierać się dialer telefonu i tym samym możliwość zadzwonienia. |
Dlaczego coś takiego puściliście? Nie zrobiłem screena, ale tak to właśnie wyglądało w notyfikacjach. Nawet po przeczytaniu reszty chwilę musiałem się zastanowić o co właściwie chodzi w tym komunikacie...
Rodzi się tez drugie pytanie - na którym etapie do ProteGO-Safe dodano możliwość wysyłania dowolnych powiadomień?
The text was updated successfully, but these errors were encountered: