ru ua

Уязвима ли "Дія": ответы экспертов и разработчиков

Уязвима ли "Дія": ответы экспертов и разработчиков Фото: приложение "Дія" (facebook com diia gov ua)
Автор: Олег Черныш

Основная возможная уязвимость популярного в Украине приложения "Дія", которое является основным элементом "государства в смартфоне", заключается не в уровне его защиты, а в самих пользователях. При этом известных технических уязвимостей на сегодня нет.

По словам члена правления "Интернет Ассоциации Украины" Максима Тульева, именно с пользовательского смартфона можно сделать "много незаконных вещей", в том числе касающихся денег и личных документов.

"Все это можно сделать в совершенно защищенной "Дія", просто украв телефон пользователя", - отметил он.

Однако руководитель команды разработки приложения "Дія" Евгений Горбачев заверил, что это маловероятно, если владелец смартфона "ответственно относится к нему" и пользуется средствами блокировки, в частности, пин-кодом, фейс-айди или отпечатком пальца.

"С нашей стороны сделано все, чтобы сделать невозможным случайную утечку информации, хранящейся в приложении, или же каких-то манипуляций с его помощью", - объяснил Горбачев.

Тульев также обеспокоен слухами о том, что приложение собирает личные данные граждан без их ведома - от записной книжки и заканчивая фотографиями на смартфоне. В то же время бывший глава ИнАУ, а ныне замглавы цифрового комитета Рады Александр Федиенко отвергает заявления об уязвимости "Дія".

Горбачев, со своей стороны, заверил, что "Дія" не требует доступа к контактам пользователя. По его словам, все разрешения на доступ, которые просит приложение, опубликованы в магазинах App Store и Play Market.

"Все критичные к персональной информации пользователя разрешения требуют непосредственного подтверждения пользователем и могут быть в любой момент им отозваны. Доступ к медийной информации нужен исключительно для функций, работающих с камерой NFC и Дія ID", - добавил он.

В свою очередь, Служба безопасности Украины, заявила, что киберспециалисты протестировали "Дія" и предоставили "определенные рекомендации" для совершенствования ее системы защиты. При этом безопасность подтверждена государственным аттестатом.

Отметим, в декабре 2020 года Минцифра провела конкурс хакеров - bug bounty - для поиска уязвимостей приложения. По итогу приз в 1 млн гривен никто не получил, так как критических "дыр" в его безопасности обнаружено не было.

"Дія", с одной стороны, включает в себя мобильное приложение с электронными документами, например, паспортом и водительскими правами. С другой - это обширный онлайн-сервис, который предоставляет доступ к информации из государственных реестров. На начало марта почти 10 млн украинцев пользуются программой.