Cześć,

Jestem zaniepokojony faktem, że aplikacja eDO App najwyraźniej próbuje wykrywać, czy telefon jest zrootowany i odmawia działania, jeśli tak jest. W przyszłości bowiem może być ona być istotnym elementem kontaktu z administracją publiczną.

Dodatkowo, inna aplikacja przygotowana przez PWPW prawdopodobnie narusza licencję biblioteki OpenSC: https://github.com/OpenSC/OpenSC/issues/1992 (zarzuty wyglądają na poważne).

W związku z tym postanowiłem wystosować do Autorów tej aplikacji maila ze stosownymi zapytaniami - odpowiedź opublikuję po jej otrzymaniu:

Dzień dobry,

Miałbym kilka pytań (oraz próśb) odnośnie aplikacji eDO App.

Po pierwsze, chciałbym się spytać, czy i kiedy zostanie opublikowany kod źródłowy tej aplikacji? Ma ona bowiem pełnić ważną rolę w społeczeństwie informacyjnym i dlatego tak ważne jest, żeby jej kod źródłowy był jawny. Ma to na celu m.in. zapewnienie przejrzystości działania samej aplikacji a także możliwość niezależnej weryfikacji jej bezpieczeństwa.

Zabezpieczenie samej aplikacji powinno się opierać nie na tajemnicy kodu źródłowego, ale na jej sposobie działania i stosowanych przez nią algorytmach kryptograficznych. Tajemnica kodu źródłowego jest bowiem pozorna, o czym świadczy chociażby wiele luk bezpieczeństwa znalezionych w popularnych systemach operacyjnych o zamkniętym kodzie źródłowym.

Dodatkowo, jestem zaniepokojony informacjami, że aplikacja próbuje odmawiać działania na zrootowanych telefonach komórkowych. Nie za bardzo rozumiem, jaki takie ograniczenie ma mieć cel, gdyż fakt uzyskania dostępu do konta roota można łatwo ukryć - chociażby Magisk posiada taką funkcjonalność. Dodatkowe bezpieczeństwo, jakie miałoby zapewnić takie działanie aplikacji jest zatem iluzoryczne a sama funkcjonalność jedynie uprzykrza życie niektórym posiadaczom telefonów komórkowych.

Uzyskanie uprawnień roota na telefonie komórkowym pozwala w pełni przejąć nad nim kontrolę i dostosować go do własnych potrzeb. Wraz z możliwością modyfikacji oprogramowania telefonu jest istotną korzyścią płynącą z częściowo otwartoźródłowej natury Androida.

Chciałbym się zatem spytać, dlaczego aplikacja eDO App próbuje odmawiać działania na zrootowanych telefonach komórkowych - jaki jest cel takiej blokady?

Dodatkowo, dowiedziałem się, że inna aplikacja przygotowana przez PWPW (służąca do zarządzania e-Dowodem) prawdopodobnie narusza licencję zastosowanej w niej biblioteki OpenSC [1] - zarzuty wyglądają na poważne. Chciałbym się zatem spytać, czy aplikacja eDO App podobnie zawiera kod źródłowy tej biblioteki i - jeśli tak - to czy jej zastosowanie tam jest legalne (czy warunki licencji LGPL zostały wypełnione)?

Odpowiedź - tak jak i treść tego maila - zamierzam opublikować w wątku na forum Dobrych Programów: <wkleić link>

Pozdrawiam,

Mateusz Jończyk

[1] https://github.com/OpenSC/OpenSC/issues/1992

To typowe dla aplikacji bankowych czy płatniczych (Google Pay). Widocznie eDO App chce iść tą samą drogą. Zrootowany smartfon = potencjalnie niebezpieczny smartfon.

Akurat właściciele zrootowanych urządzeń mają zwykle większą wiedzę techniczną i dlatego łatwiej jest im się uchronić przed malware.

Tutaj mówimy o usługach publicznych, nie o prywatnej aplikacji jakiegoś banku. Podstawowa funkcjonalność aplikacji bankowych zresztą AFAIK działa nawet na zrootowanych smartfonach, problem jest tylko z płatnościami zbliżeniowymi.

Pewnie chodzi o wałki, że przyłożysz do NFC jakiś śmieć i na około zrobisz autoryzacje by eDo się nie skapło.

eDowody posiadają zaszyty w środku klucz prywatny i certyfikat. Klucz prywatny jest zapisany tak, że nie da się go wydobyć z dokumentu, można za jego pomocą jedynie podpisywać (co można zrobić jedynie znając PIN). Zatem przy poprawnie skonstruowanej autoryzacji takie “wałki” nie są możliwe, nawet gdyby aplikacja była otwartoźródłowa.

Kuzyn sąsiadki wziął pieniądze za program, wiec się nie czepiaj, bo bratanek szwagra ma znajomosci w prokuraturze, a nikt bez winy nie jest

To samo było z dowodami rejestracyjnymi i tym śmiesznym kodem Aztec.
Klasycznie, ktoś komuś dał w łapę i chciał jeszcze zarobić na WebAPI do dekodowania:

Z publicznych pieniędzy jeżeli takie coś finansują to kod źródłowy powinien być dostępny.

Wystarczy wgrać Magisk’a i dodać do listy Root Hide EDO App. Po dodaniu nie powinno być problemu. Ja tak zrobiłem na moim LG V30 z aplikacją Santander Mobile.

w tej aplikacji jest ponoć trojan od naszych starszych braci wierze