Уязвима ли "Дія": ответы экспертов и разработчиков
Фото: приложение "Дія" (facebook com diia gov ua)
Основная возможная уязвимость популярного в Украине приложения "Дія", которое является основным элементом "государства в смартфоне", заключается не в уровне его защиты, а в самих пользователях. При этом известных технических уязвимостей на сегодня нет.
Об этом говорится в материале РБК-Украина "Война вирусов. Готова ли Украина к кибератакам и что грозит "цифровому государству".
По словам члена правления "Интернет Ассоциации Украины" Максима Тульева, именно с пользовательского смартфона можно сделать "много незаконных вещей", в том числе касающихся денег и личных документов.
"Все это можно сделать в совершенно защищенной "Дія", просто украв телефон пользователя", - отметил он.
Однако руководитель команды разработки приложения "Дія" Евгений Горбачев заверил, что это маловероятно, если владелец смартфона "ответственно относится к нему" и пользуется средствами блокировки, в частности, пин-кодом, фейс-айди или отпечатком пальца.
"С нашей стороны сделано все, чтобы сделать невозможным случайную утечку информации, хранящейся в приложении, или же каких-то манипуляций с его помощью", - объяснил Горбачев.
Тульев также обеспокоен слухами о том, что приложение собирает личные данные граждан без их ведома - от записной книжки и заканчивая фотографиями на смартфоне. В то же время бывший глава ИнАУ, а ныне замглавы цифрового комитета Рады Александр Федиенко отвергает заявления об уязвимости "Дія".
Горбачев, со своей стороны, заверил, что "Дія" не требует доступа к контактам пользователя. По его словам, все разрешения на доступ, которые просит приложение, опубликованы в магазинах App Store и Play Market.
"Все критичные к персональной информации пользователя разрешения требуют непосредственного подтверждения пользователем и могут быть в любой момент им отозваны. Доступ к медийной информации нужен исключительно для функций, работающих с камерой NFC и Дія ID", - добавил он.
В свою очередь, Служба безопасности Украины, заявила, что киберспециалисты протестировали "Дія" и предоставили "определенные рекомендации" для совершенствования ее системы защиты. При этом безопасность подтверждена государственным аттестатом.
Отметим, в декабре 2020 года Минцифра провела конкурс хакеров - bug bounty - для поиска уязвимостей приложения. По итогу приз в 1 млн гривен никто не получил, так как критических "дыр" в его безопасности обнаружено не было.
"Дія", с одной стороны, включает в себя мобильное приложение с электронными документами, например, паспортом и водительскими правами. С другой - это обширный онлайн-сервис, который предоставляет доступ к информации из государственных реестров. На начало марта почти 10 млн украинцев пользуются программой.
Напомним, ранее сообщалось, что Укрпочта начала принимать электронные документы в приложении "Дія".
Также через приложение можно записаться в лист ожидания на вакцинацию от COVID.
