Видео «COVID CONTROL»

11 апреля на YouTube появилось видео под названием «Кыргызстанда IT адистер вирусту жуктургандар каякта жүргөнүн аныктоочу программа ишке киргизди» (Кыргызские IT-специалисты разработали программу, которая определяет, где находятся зараженные вирусом — перевод с кыргызского). На видео мужчина показывает, как работает сайт под названием «COVID CONTROL».

На сайте представлена карта Кыргызстана, где указано количество людей, пребывающих на домашнем карантине. Точные адреса этих людей нанесены специальными метками на карту.

Мужчина выбирает один из домов в городе Кант, который расположен недалеко от столицы, кликает на профиль его жителя, и ему открываются перемещения гражданина, отмеченные красными линиями, и их дата. Он говорит, что этот человек — нарушитель, так как он перемещался на большие расстояния, хотя должен был находиться дома.

Затем он открывает «карточку» этого человека, и получает доступ ко всем его личным данным, включая ПИН/ИНН паспорта и номер телефона.

Позже мужчина смотрит на перемещения другой жительницы Канта, находящейся на домашнем карантине, и сравнивает их с перемещениями предыдущего жителя. По его словам, эта женщина тоже нарушила условия, так как выходила за пределы допустимого радиуса в 5 метров.

Затем он просматривает и ее «карточку».

Видео: Кыргызские IT-специалисты разработали программу, которая определяет, где находятся зараженные вирусом

Разработка штаба

Республиканский штаб по борьбе с коронавирусом 13 апреля сообщил о запуске «системы мониторинга» граждан, обязанных находиться на домашнем карантине.

По данным штаба, система представляет из себя «специальный ресурс» (веб-сайт) и мобильное приложение, которые разработаны IT-штабом при Госкомите информационных технологий и связи (ГКИТиС) по поручению самого Республиканского штаба по борьбе с коронавирусом.

«Приложение устанавливается на телефон с добровольного согласия гражданина, который подписывает соответствующее обязательство на период нахождения в карантине», – сообщил штаб.

В штабе отметили, что с помощью приложения пользователи могут сообщить медработникам о состоянии своего здоровья, и воспользоваться экстренной кнопкой SOS в случае его ухудшения. Врачи также могут удаленно следить за пациентом и показателями его здоровья, «что позволит уменьшить нагрузку на врачей».

«Данный ресурс и сведения в нем являются конфиденциальным и предназначены строго для служебного пользования. Допуск к системе мониторинга имеет ограниченный круг лиц, определенных ответственными за предотвращение и ликвидацию последствий ЧС и ЧП госорганами», – подчеркнули в штабе отдельным пунктом.

Также в сообщении заявили, что относительно ранее опубликованного видео, информация «направлена в органы для проведения проверки и дачи правовой оценки распространения конфиденциальных данных».

В сообщении на сайте ГКИТиС отмечается, что сейчас система работает «в пилотном режиме». После завершения работы над ней, ее передадут минздраву для использования в реализации цифровой трансформации «Санарип Кыргызстан».

В своем заявлении и штаб правительства, и ГКИТиС ссылаются на конституционный закон «О чрезвычайном положении», а именно на 22 статью. Согласно ей, в условиях чрезвычайного положения власти Кыргызстана могут «запрещать отдельным гражданам покидать на установленный срок определенную местность, свою квартиру (дом)».

Приложение для слежки

Приложение, о котором говорилось в сообщении Республиканского штаба – это «Stop COVID-19 KG». Пока оно доступно для скачивания только в магазине Google Play для операционной системы Android, а количество его установок уже превышает 10 тысяч.

В описании приложения говорится, что оно было создано при совместной работе разработчиков компании «Put In Byte», резидента «Парка высоких технологий» Кыргызстана, и муниципального предприятия «Центр цифровых технологий» мэрии Бишкека.

Согласно описанию, приложение позволяет штабу, а также «отдельным уполномоченным лицам» контролировать местонахождение и отслеживать на карте перемещение человека, зараженного коронавирусом или контактировавшего с зараженным.

«Для контроля и отслеживания на карте используется технология GPS. А также система позволяет сохранять историю перемещений», – сообщает описание в маркетплейсе.

В описании «Stop COVID-19 KG» отмечено, что работа над мобильным приложением продолжается в настоящее время, и скоро будут внедрены дополнительные новые удобные функции для пользователей.

Как работает приложение?

После установки мобильного приложения «Stop COVID-19 KG» на смартфон, открывается окно с предупреждением безопасности. Согласно руководству, прилагаемому к приложению, разработчики просят пользователя перейти в «Настройки» и отметить в появившемся меню галочку напротив «Неизвестные источники».

В руководстве отмечается, что для полноценной работы приложения «необходимо в обязательном порядке включить все запрашиваемые разрешения!»

Если приложение не запрашивает их, необходимо установить их самостоятельно – доступы к камере, местоположению, микрофону, телефону, хранилищу, а также «разрешение наложения поверх окон».

Далее необходимо пройти регистрацию, указав ФИО, дату рождения, номер мобильного телефона и ПИН/ИНН паспорта. Затем пользователь должен выбрать статус: «Зараженный» или «С подозрением на заражение».

После ввода данных нужно нажать кнопку «Регистрация». На указанный номер приходит SMS-сообщение с уникальным ключом для авторизации пользователя. Этот ключ нужно ввести в специальное поле и нажать «Далее».

Согласно руководству, для корректной работы приложения нужно иметь постоянно включенные интернет и GPS-датчик телефона. У приложения есть десктоп-версия, которая позволяет входить в аккаунт с компьютера.

Полученные данные приложение передает на сайт с доменом, который сейчас не доступен.

Что не так с приложением, и почему оно опасно?

Слишком широкий доступ к функциям смартфона

Согласно руководству мобильного приложения «Stop COVID-19 KG», оно требует доступ ко многим функциям смартфона, в том числе, разрешение о наложении поверх других окон и приложений.

Этот сервис под названием «Accessibility Service», обычно используется в приложениях Android для людей с разными видами инвалидностей. Этот сервис часто используют мошенники.

Получив разрешение на использование Accessibility Service, приложение фактически может перекрывать окна других приложений своими окнами, управлять устройством голосовыми командами, а также прослушивать, а не только просматривать контент.

Специалисты отмечают, что с помощью Accessibility Service разработчики приложения могут использовать кликджекинг – размещать какие-либо невидимые элементы поверх видимых активных кнопок.

Например, нажав на кнопку воспроизведения видео, пользователь, сам того не зная, может совершить что-то иное – согласиться на предоставление какой-либо конфиденциальной информации.

Accessibility Service также используется для фишинга, перехвата нажатий на клавиши, незаметной установки дополнительных приложений и их работы в режиме максимальных привилегий. Также злоумышленники с помощью этого сервиса смогут тайно разблокировать устройство и выполнять произвольные действия, при этом держа экран смартфона отключенным.

В 2017 году Google Play начал бороться с использованием Accessibility Service без уважительной причины. В Google сообщили, что будут удалять приложения, использующие Accessibility Service, если они не используются для людей с инвалидностью.

Данные не зашифрованы

Мобильное приложение «Stop COVID-19 KG» использует протокол HTTP.

HTTP — это протокол и способ обмена информацией между приложением и сервером. Он помогает браузеру загружать веб-страницы, а серверу — получить информацию, которую пользователь ввёл на сайте. При этом информация передается не зашифрованной – в виде текста.

HTTPS — это тот же протокол, но значительно более безопасный, так как он передает данные в зашифрованном виде. Обычно, чтобы расшифровать и прочитать их, нужен специальный ключ, который хранится только на сервере.

Это значит, что данные, передаваемые через приложение «Stop COVID-19 KG», передаются в обычном виде, а не в зашифрованном. Таким образом, прочитать обычный текст третьим лицам гораздо легче, чем расшифровывать данные.

Это особенно опасно, когда дело касается таких чувствительных персональных данных, как номер мобильного телефона, ПИН/ИНН паспорта, медицинских диагнозов и тому подобное.

Персональные данные не защищены

Общественный фонд «Гражданская инициатива интернет политики» (ОФ ГИИП) провел независимый анализ мобильного приложения «Stop COVID-19 KG».

В нем организация сделала вывод, что власти и разработчики допустили «грубые нарушения действующего законодательства в сфере защиты персональных данных и кибербезопасности».

В анализе организации говорится, что «Stop COVID-19 KG» запрашивает слишком много данных о пользователе. Правозащитники считают, что эти данные не нужны разработчику для работы приложения, и при этом, их сбор противоречит принципам обеспечения неприкосновенности частной жизни.

Список данных, которые может передавать приложение

«По сути, службам здравоохранения нужны данные только о том, с кем общались подозреваемые на COVID-19, но не где они бывали. Единственные личные данные, которые нужны для этого – это номер телефона, который позволяет контактировать с врачами», – утверждает ГИИП.

Из описания приложения ГИИП делает вывод, что невозможно установить перечень «отдельных уполномоченных лиц», которые будут контролировать местонахождение гражданина с помощью приложения.

«Не ясно, кто является держателем персональных данных, кто осуществляет их обработку, кому в итоге будут передаваться данные из приложения для “контроля” перемещений, кто эти загадочные “отдельные уполномоченные лица”», – пишет ГИИП.

Согласно закону «Об информации персонального характера», если данные будут передаваться любым третьим лицам, разработчики обязаны проинформировать об этом пользователя в течение недели.

Однако в описании приложения ничего не указано ни о возможной передаче персональных данных, ни о способе информирования граждан о факте такой передачи.

Правозащитники считают, что мобильное приложение не соответствует требованиям безопасности. Они задаются важными вопросами: как данные защищены от утечек, передаются ли они в открытом или закрытом виде,  зашифрованы ли они и так далее.

«Наши опасения подтверждаются распространяемым в интернете видео с описанием работы приложения, фактическим разглашением особо чувствительных персональных (медицинских) данных, все возможные требования к кибербезопасности были нарушены – доступ к данным имеет кто угодно и в каких угодно целях», – отметили в организации.

В анализе подчеркивается, что технологии играют важную роль в борьбе с пандемией, но это «не даёт правительствам карт-бланш на расширение электронной слежки».

«Государственные органы не могут просто игнорировать право на неприкосновенность частной жизни, любые новые меры должны обеспечивать гарантии прав человека. Везде, где правительства используют технологии как часть стратегии для победы над COVID-19, они должны делать это таким образом, чтобы уважались права человека», – пишет ГИИП.

Что ответили в штабе?

Однако Штаб утверждает, что приложение полностью отвечает требованиям и законодательству в сфере защиты персональных данных – а именно, закону «Об информации персонального характера», и закону «Об электронном управлении».

«Автоматизированная система и сведения в ней являются конфиденциальными и предназначены строго для служебного пользования», – написано в заявлении.

В штабе заверяют, что есть разные уровни доступа к данным, которые определяются обязанностями специалистов. Люди, имеющие доступ, по закону несут ответственность за неразглашение информации, полученной в ходе своей работы.

По утверждению штаба, доступ к данным есть только у людей, ответственных за проведение санитарно-эпидемических мероприятий или за устранение последствий пандемии COVID-19.

«Все данные системы хранятся на инфраструктуре ГКИТиС, где предусмотрены и обеспечены меры по обеспечению информационной безопасности. Инфраструктура соответствует всем требованиям по организационным и техническим мерам. Имеются все соответствующие заключения государственных органов», – сообщили в штабе.

Бонус: Кто создавал и контролирует приложение

Редактор: Анна Капушенко.