ru ua

Чи вразлива "Дія": відповіді експертів та розробників

Чи вразлива "Дія": відповіді експертів та розробників Фото: додаток "Дія" (facebook com diia gov ua)
Автор: Олег Черниш

Основна можлива вразливість популярного в Україні додатку "Дія", який є основним елементом держави в смартфоні", полягає не в рівні його захисту, а в самих користувачах. При цьому відомих технічних вразливостей на сьогодні немає.

За словами члена правління "Інтернет Асоціації України" Максима Тульєва, саме з користувацького смартфона можна зробити "багато незаконних речей", в тому числі тих, що стосуються грошей і особистих документів.

"Все це можна зробити в абсолютно захищеній "Дії", просто вкравши телефон", - зазначив він.

Однак керівник команди розробки застосунку "Дія" Євгеній Горбачов запевнив, що це малоймовірно, якщо власник смартфону "відповідально ставиться до нього" та користується засобами блокування, зокрема, пін-кодом, фейс-айді чи відбитком пальця.

"З нашого боку зроблено все, щоб унеможливити випадковий витік інформації, що зберігається в додатку, або ж якихось маніпуляцій з його допомогою", - пояснив Горбачов.

Тульєв також стурбований чутками про те, що додаток збирає особисті дані громадян без їх відома - від записної книжки до фотографій на смартфоні. У той же час колишній глава ІнАУ, а нині заступник голови цифрового комітету Ради Олександр Федієнко відкидає заяви про уразливості "Дія".

Горбачов, зі свого боку, запевнив, що "Дія" не вимагає доступу до контактів користувач. За його словами, всі дозволи на доступ, які просить застосунок, опубліковані в магазинах App Store та Play Market.

"Усі критичні для персональної інформації користувача дозволи вимагають безпосереднього підтвердження користувачем і можуть бути в будь-який момент їм відкликані. Доступ до медійної інформації потрібен виключно для функцій, що працюють з камерою NFC і Дія ID", - додав він.

У свою чергу, Служба безпеки України, заявила, що кіберспеціалісти протестували "Дію" і надали певні рекомендації для вдосконалення її системи захисту. При цьому безпека підтверджена державним атестатом.

Зазначимо, в грудні 2020 року Минцифра провела конкурс хакерів - bug bounty - для пошуку вразливостей програми. За підсумком приз в 1 млн гривень ніхто не отримав, так як критичних "дірок" в її безпеці виявлено не було.

"Дія", з одного боку, включає в себе мобільний додаток з електронними документами, наприклад, паспортом та водійськими правами. З іншого - це великий онлайн-сервіс, який надає доступ до інформації з державних реєстрів. На початок березня майже 10 млн українців користуються програмою.