Mentionsy

I przyznam szczerze, nie spodziewałem się aż takiego odzewu z waszej strony, bo gdy wrzuciłem na Twittera informację o tym, że no ktoś tutaj mówi, że M-Obywatel jest strasznym narzędziem szpiegowskim, niczym Pegasus, Predator czy inne, to okazało się, że ten temat jest bardzo gorący i bardzo nośny i co więcej, sporo osób pisało do mnie w wiadomościach prywatnych, część z was pisała maile, także zgodnie z wolą ludu dzisiaj będzie

Potem, jeżeli ktoś z Was zostanie i będzie chciał zerknąć w głębiej, to będziemy sobie rozmawiać także o kodzie źródłowym, o tym, co tam rzeczywiście się znajduje i jak sami możecie to sprawdzić, tak żeby nie wierzyć mi na słowo.

Natomiast ja państwu powiem, dlaczego ja bym nigdy nie zapisał się i nie wziął, nie ściągnął tego na swój telefon, na swoje urządzenia.

Natomiast...

To jest, przepraszam, 2017 na Androida, 2018 na telefony iPhone.

To oznacza, że jest narzędziem typu Pegasus.

No więc to jest tak, w Androidzie od samego początku ten system był tak przemyślany, żeby każda aplikacja była w oddzielnej piaskownicy.

Na tym polega cały koncept piaskownicy i oddzielenia aplikacji pomiędzy sobą, że jeżeli ta aplikacja, która tutaj będzie tym naszym emobywatelem,

Przede wszystkim wtedy, kiedy macie jakieś informacje, które mają lokalnie zostać, czyli jakaś baza danych, jakiś certyfikat covidowy, jakieś Wasze prawo jazdy, czy cokolwiek innego.

To znaczy, nie odczytuje Waszych zdjęć, Waszych innych plików z innych aplikacji.

Czy ty się na to zgadzasz?

I to użytkownik ma prawo zgodzić się albo nie zgodzić, bo tym, kto kontroluje dostęp do kamery, jest Wasz system operacyjny.

Natomiast jak się zgodzicie, to system operacyjny dostarcza Wam informację o tym, że takie uprawnienie zostało dostarczone i pojawia się kropeczka.

Czy to ma jakiś rozsądny use case?

Jak się skanowało QR kody, które były w przypadku wyborów, jak się skanowały kody ASTEC na dowodzie, więc...

Sens tego, żeby ta aplikacja miała uprawnienia do kamery jest, natomiast tu też chodzi o to, że ta kamera nie jest włączona cały czas.

Ona nie jest włączona bez waszej wiedzy i bez waszej woli, więc jest to wyolbrzymienie.

Natomiast jak na razie żadna z tych informacji nie jest informacją krytyczną.

Przejdziemy sobie jeszcze do biometrii, do get tasks i do lokalizacji, bo chciałbym Wam to pokazać głębiej.

Natomiast chciałbym jeszcze trochę posłuchać zarzutów.

Macie to, czyli w każdym momencie państwo może po prostu, jeżeli masz zainstalowaną aplikację M-Obywatel i rządzą ludzie, którym się nie podobasz, którzy chcieliby, nie wiem, dowiedzieć się czegoś na twój temat, zrobić ci krzywdę, dojechać cię brutalnie rzecz biorąc, to w tym momencie okazuje się, że nie trzeba ci instalować Pegasusa, nie trzeba płacić dużo za licencję, po prostu wchodzi się do M-Obywatela i się to uruchamia.

No więc hipoteza, która tu jest przedstawiona przez interlokutora wygląda tak, że mamy jakiś centralny serwer, który łączy się z waszym telefonem, z aplikacją M-Obywatel i zdalnie jest w stanie w tej aplikacji powiedzieć, żeby zrobiła coś, że to będzie jakieś narzędzia do analizy tego, co się dzieje.

I ja wykonałem coś takiego w tak zwanym międzyczasie.

Następnie jak sobie ją pobierzemy i pokażę Wam na samym końcu, jak można się do tego dostać i jak sobie ją otworzycie.

No i tutaj pojawiła się taka informacja od jednego z interlokutorów, że mObywatel może kontrolować uruchomienie waszego systemu.

To znaczy ona nie może być wtedy w tej piaskownicy, którą sobie tutaj rysujemy, tylko musiałaby mieć o wiele wyższe uprawnienia, których tutaj nie ma.

I teraz, żeby nie było, że pokazuję Wam jakiś magiczny plik, każdy z Was może sobie ten plik wyeksportować, wrzucić do pierwszego, lepszego czata GPT czy czegokolwiek innego, czemu bardziej ufacie, jeżeli nie chcecie tego analizować samemu.

To nie oznacza, że ktoś zdalnie może uruchamiać Wasz system, albo zdalnie przez emobywatela sterować czymś innym.

Po drugie, M-Obywatel zawiera komercyjne skrypty śledzące, takie jak Google Firebase Analytics, które zbiera dane marketingowe.

Ja bardzo lubię i cenię firmę Google, natomiast ja nie wiem, przepraszam, kto to zrobił, kto wrzucił komercyjne narzędzie do zbierania danych.

Firebase, tu potrzebujemy cofnąć się trochę w tym, jak działały rzeczy, Firebase jest standardowym sposobem, w którym komunikujemy się z aplikacją.

mieć czas procesora.

I wyobraźcie sobie, że macie aplikację na waszym telefonie, która potrzebuje, nie wiem, odbierać wiadomości o tym, że coś się dzieje.

I jak były pierwsze Androidy, no to problem polegał na tym, że ten mechanizm nie był ustandaryzowany, więc każda aplikacja po kolei, jak chciała coś sobie pobrać z internetu, to robiła tak zwany polling, czyli powiedzmy, że chciałeś wiedzieć, czy masz nowego maila, czy cokolwiek innego, to co 30 sekund, co 60 sekund te aplikacje po prostu się tam budziły i wchodziły i próbowały coś pobrać z internetu.

Strasznie nieefektywne energetycznie.

Strasznie jakby zajeżdżało system, ale nie było w tamtym momencie po prostu lepszego sposobu.

Firebase jest takim wielkim kombajnem, który jest ustandaryzowany właśnie przez Googla i jest własnością Googla, który służy do wielu rzeczy.

No więc ja po zdekompilowaniu i wyciągnięciu sobie informacji o tym, co rzeczywiście Firebase robi w tym projekcie, mam takie informacje.

To jest tak, że jak się zdekompiluje aplikacja, ja nie mam kodu źródłowego, ja to robię na własny użytek i sprawdzam, co tam się znajduje, jak sam sobie instaluje, to widzę, że w tej aplikacji poszukując w plikach SMALI, to są te pliki, które są jakby plikami po dekompilacji, szukam, gdzie jest wykorzystywany Firebase Analytics, Analytics albo jakieś logowanie.

No i efekt jest taki, że to, co tam znalazłem, to jest tylko informacja, że Firebase nie korzysta z wszystkich swoich możliwości, ale tylko z cloud messaging, czyli z powiadomień push, czyli właśnie z tego, że jakiś serwer może wysłać przez pusha powiadomienia.

Jeżeli nie masz złych intencji, to po prostu pokazujesz całość.

Nie ma żadnego uzasadnienia, aby aplikacja, która ma nam pomagać, była narzędziem inwigilacji.

To znaczy fajnie by było, gdyby każdy z nas bez umiejętności technicznych dekompilowania i innych takich mógł zajrzeć w kodu mObywatela.

My z Tomkiem mamy takie doświadczenia, zresztą polecamy materiał na kanale Tomka o tym, że ile kosztowała inwigilacja nas w przeciągu ostatnich 8 lat, szanowni państwo, to jest tam ponad 150

Co ta aplikacja musi o nas wiedzieć?

Ta aplikacja służy do tego, żeby między innymi pobierać Wasze dokumenty poprzez API z domen rządowych, czyli gov.pl.

To służy do tego, żebyście mogli korzystać z dokumentów w waszym telefonie, więc zupełnie nie rozumiem, o co chodzi w tworzeniu cyfrowej teczki, skoro te dokumenty i tak rząd ma o nas, a my pobieramy niejako takie cyfrowe wersje na nasz telefon i zapisujemy w pamięci tej aplikacji.

Natomiast ja patrząc w plik Android Manifest, który mam tutaj na ekranie, jeżeli wpisuję ma mikrofon, to w ogóle go nie ma.

To oznacza, że w momencie, gdyby taka aplikacja nawet była zdalnie sterowana i była wielkim trojanem na naszym telefonie, czyli mamy aplikację i ona poprosiłaby o mikrofon, włączenie mikrofonu systemu operacyjnego, to system operacyjny powiedziałby spadaj, nie poprosiłeś o takie uprawnienia, nie masz takiego prawa.

Nagrywania na naszych telefonach nie powinna mieć możliwości dostępu do kamery, dostępu do...

Dostępu do kamery ma sens, bo trzeba skanować kody QR, kody ASTEC, więc dla mnie to jest zaprzeczanie samemu sobie.

Ona musi mieć w określonych rzeczach, ale nie może być... To jest Pegasus.

To nie jest Pegasus.

Pegasus jest czymś zupełnie innym.

M-Obywatel jest aplikacją na waszym telefonie.

Pegasus, odsyłam albo do filmiku mojego o Pegasusie, albo do Predatorze, albo Adam z Zaufanej Trzeciej Strony zrobił świetny webinar o Pegasusie, gdzie tłumaczę jak to działa.

Pegasus jest zewnętrznym systemem, który próbuje się do tego systemu dostać i powyciągać jakieś dane.

Pegasusem aplikacji na telefon jest niezrozumieniem tematu.

To jest Pegasus instalowany na własny... To jest Predator, Janek, taki prędzej.

Nie, no Tomek, to jest Pegasus, bo on ma wszystkie te funkcje, Pegasus, Predator to jest to samo.

Są kategorie ataków zero-click, to znaczy takie, że ofiara jest atakowana na przykład Pegasusem czy czymkolwiek innym, nawet nie wie, że jest atakowana, nawet nie musi niczego kliknąć.

I rzeczywiście więcej ataków takich one-click było w przypadku Predatora niż Pegasusa.

Natomiast to ciekawe, że coś tam dzwoni, ale nie do końca wiadomo w którym kościele.

jakiegokolwiek z producentów, to znaczy pokażę Wam zaraz, jaki w ogóle materiał kryptograficzny tam się znajduje, więc nie może kontrolować całego Waszego systemu, może kontrolować tylko i wyłącznie to, co ma w swojej własnej piaskownicy.

Masz se zainstalować i tyle, jak se nie zainstalujesz, to masz kredyt społeczny.

Tak, masz kredyt społeczny minus tyle i do widzenia.

Masz być po prostu kontrolowany.

Co więcej, większość z naszych geniuszy, którzy rządzą, nie mają bladego pojęcia, dla kogo tak naprawdę zbierają te dane.

Natomiast opowiem Wam krok po kroku, jak to działa i jak możecie zrobić to także sami.

Przeglądałem tam kilka klas z kodem, a także przeanalizowałem rzeczy związane z Firebase'em.

Więc ma każdy z nas prawo wyboru i skorzystać z mObywatela bez dostępu do kamery.

Jest kilka klas, które są mało czytelne, ale jest oczywiście skaner kodów QR, skaner dla dokumentów i implementacja CameraX, która jest takim standardem.

Użycie kamery jest zgodne z use casem.

Mikrofon nagrywa potajemnie jak Pegasus.

Rząd śledzi każdy nasz krok, bo wymaga uprawnienia do GPS-u i to tak do lokalizacji ogólnej albo do takiej dokładnej.

Course Location to jest właśnie taka lokacja ogólna, a Fine Location to jest taka dokładna nasza aplikacja.

No więc to służy do tego, że jak chcecie poszukać sobie najbliższego urzędu, albo zgłaszacie, że jest nielegalne wysypisko śmieci, albo coś się stało, co jest zgodne z funkcjonalnością tej aplikacji, no to potrzebna jest wasza lokalizacja, więc trzeba się zgodzić wtedy na dostęp do tej lokalizacji.

I co ciekawe, zaszyty jest w kodzie klucz API do Google Maps.

To są drobnostki, to nie powoduje, że ta aplikacja nagle nas śledzi.

No bo odpala się wtedy i widzicie, że aplikacja korzysta z GPS-u wtedy, kiedy macie uruchomiony use case, czyli jeżeli chcecie to zweryfikować sami, to odpalacie sobie obywatela, wyłączacie GPS-a, a potem spróbujcie wykorzystać jakąś funkcję, czyli znająć najbliższy urząd albo cokolwiek innego, to aplikacja poprosi Was o takie uprawnienie.

Zarzut pod tytułem będzie mi wrzucała jakieś zdjęcia, jak tutaj Pegasus albo cokolwiek innego na mój telefon.

To znaczy rzeczy, które kiedyś były dostępne w uprawnieniach, z czasem już przestają być wymagane.

Natomiast ze względu na to, żeby nie dyskryminować dostępu do usług cyfrowych, aplikacja M-Obywatel działa od Androida 8.

Aplikacja ma dostęp tylko do własnego folderu, nie ma żadnego dostępu do plików systemowych, więc to, co sobie sama wrzuci, to będzie się po prostu działo.

W efekcie to, co aplikacja może sobie wrzucić albo odczytywać z plików, będzie tylko z tej własnej piaskownicy.

One, one, one, teraz będą nas wszystkich sprawdzać.

I teraz, gdyby ktoś chciał zbierać dane o naszych odciskach palców, no to ta...

No więc aplikacja musi poprosić system operacyjny po to, żeby on następnie zweryfikował, czy ty to rzeczywiście jesteś, ty zgodny ze swoim wzorcem.

Następnie Android zgłasza się do swojego kernela, czyli do jądra.

Jądro następnie zgłasza się do Trusted Execution Environment, który jest osobnym systemem operacyjnym, który jest podłączony fizycznie do tego osobnego czujnika.

Przykładasz palec, on wraca, to fizycznie jest podłączone w osobne miejsce niż Android.

Kolejny zarzut, czyli profilowanie polityczne, get tasks.

Po co aplikacja w ogóle sprawdza, jakich aplikacji używasz?

Ta sztuczka, która tu jest zastosowana, to jest to, że w starszych wersjach Androida, czyli od 8 do 11, wywoływało się właśnie funkcję getTasks, żeby zobaczyć, czy ja jako aplikacja, czyli ja jako obywatel jestem na wierzchu.

Czyli jeżeli ktoś z Was ma w miarę nowoczesny telefon, przez nowoczesny mam na myśli aktualizowany z bieżącą wersją Androida itd., to w ogóle nie ma możliwości, żeby ta funkcja, która jest wykorzystywana przez obywatela, cokolwiek zwracała.

No dobra, a teraz tak głębiej, czy ta aplikacja może modyfikować nasz system operacyjny?

Pełna zdalna kontrola jak Pegasus, coś takiego padło.

Żeby coś takiego się wydarzyło, to aplikacja musiałaby sama spróbować zaatakować nasz system.

Czyli tak jak mamy nasz telefon, to w ramach niego mamy aplikację, która najpierw musiałaby próbować oszukać system operacyjny i to, co tam się dzieje w tych sprawdzeniach, i spróbować uzyskać uprawnienia podwyższone, czyli na przykład uprawnienia ruta.

Wyobraźmy sobie Pegasusa.

Pegasus płaci miliony dolarów za tego typu ataki.

To nie ma uzasadnienia ekonomicznego.

Sytuacja wygląda tak, że żeby na jakimś lotnisku, czy w jakimś innym miejscu, gdzie ktoś pomiędzy Wami, a pomiędzy, nie wiem, na przykład aplikacją bankową, w tym wypadku między M-Obywatelem, czyli mamy na sobie nasz telefon, mamy jakieś Wi-Fi, któremu niekoniecznie ufamy i mamy tutaj serwery gov.pl M-Obywatela.

Czyli jak wasza aplikacja tutaj połączy się do internetu i dostanie certyfikat, to sprawdza, czy on pasuje z tym, co jest w kodzie.

Jak pasuje?

Jak nie pasuje, bo ktoś zły po drodze próbuje cokolwiek zmieniać, to tego nie zaakceptuje i to jest zabezpieczenie nas jako użytkowników aplikacji przed tym, że ktokolwiek mógłby próbować coś po drodze zmieniać.

Możemy sobie zobaczyć Firebase Service, w jaki sposób jest skonfigurowany.

Każdy use case odpowiada za pewną funkcjonalność, jeden za deszyfrowanie komunikatów z puszy, rejestracja do usługi i obsługę kanału.

Co się dzieje w momencie, jak dostaniesz wiadomość, następnie wiadomość musi być zaszyfrowana.

Innymi słowy, M-Obywatel nie akceptuje wiadomości, która zostanie wysłana na Wasz telefon, która nie jest zaszyfrowana.

Więc najpierw sprawdza się rejestrację, potem przetwarza się tylko te zaszyfrowane wiadomości i w sumie nie ma się do czego doczepić.

A może coś tutaj jest strasznego w notyfikacjach?

Bo może tam jest jakiś taki kod, który tylko czeka na to, żeby go uruchomić, żeby ktoś wcisnął duży czerwony guzik i żeby można było przejąć kontrolę nad naszym urządzeniem?

No więc okazuje się, że tam jest biblioteka, która nazywa się BSLib, która jest prawdopodobnie stworzona przez NASK, która sprawdza kilka informacji.

Efekt jest taki, że z definicji, jeżeli w Waszym telefonie jest dostępne

Sprawdza się, czy na pewno ten certyfikat, którym aplikacja została podpisana, jest certyfikatem NASK-u.

Natomiast to jest mało prawdopodobne w oficjalnym sklepie Play.

Ja rzeczywiście tej ciemnej strony nie lubię, czyli jeżeli ktoś ma swój ROM, swojego Androida, swojego Grafina USA czy cokolwiek innego, czasami te funkcje tam działają za nadto.

To znaczy mam na myśli, że mimo, że to jest normalny system operacyjny, to czasami takie obywatele czy aplikacja bankowa nie zadziała i też mi się to nie podoba.

Natomiast cała intencja zastosowania tego jest słuszna, żeby sprawdzić, czy ktoś nie oszukuje aplikacji, że na przykład działa to na jakimś emulatorze.

Są tu modele lokalne, nie będziemy wchodzić dokładnie o co chodzi, ale idea jest taka, żeby ktoś automatycznie na przykład nie kontrolował za pomocą jakichś skryptów naszego obywatela.

Kolejny element to Google Play Integrity, to znaczy sam Google dostarcza takiego mechanizmu atestacji i sprawdzania, czy rzeczywiście to jest ta konkretna aplikacja, która jest na urządzeniu i nie została podmieniona, albo czy system cały czas poprawnie działa.

To jest element, w który musielibyśmy dosyć długo wchodzić głębiej, natomiast cała idea polega na tym, że Google niejako sprawdza i weryfikuje, czy nasz system operacyjny nie został w pewien sposób skompromitowany.

I poprzez zweryfikowanie tego po stronie serwerowej przez Google i naszego urządzenia widzimy, ok, ktoś tutaj nie mieszał palców, nie zepsuł na przykład tego Trusted Execution Environment, gdzie się dzieją rzeczy, system wygląda zdrowo.

Jeden do Google Maps, który wiemy do czego służy, drugi do Firebase, żeby działały pushe i trzeci to jest Web Client, czyli do tego, żeby można było łączyć się z stronami rządowymi.

Następnie mamy konfigurację Firebase'a.

To też jest dobra praktyka, żeby mieć taki zapasowy pin.

Następny Certum Certificat, certyfikat wystawiony w 2008 roku, więc dawno, dawno temu, który jest wykorzystywany dalej do tego, żeby podpisywać kolejne elementy w łańcuchu.

Natomiast biorąc pod uwagę to, że ten klucz został wystawiony paręnaście lat temu, no to nie jest nic dziwnego i spodziewam się, że prędzej czy później ten klucz po prostu zostanie zrotowany.

No nie, bo korzysta się ze standardowych funkcji AS, czyli czegoś, co jest automatycznie stosowane przez wszystkich, jeżeli chcą być zgodni ze standardami.

AS jest w trybie GCM, korzysta z kluczy 256 bitów i jest wykonywany przez sprzęt, który jest dostępny w danym Androidzie.

Bo LibSQL Cypher jest skonfigurowany jako AS256 w trybie CBC.

AS w trybie Cypher Blockchain powoduje, że można zrobić tak zwane Oracle Padding Attacks, natomiast tutaj to jest tylko do lokalnej bazy danych.

Gdyby ktoś chciał się przyczapić, no można zastosować ASXTS albo właśnie GCMA i tego problemu nie będzie.

Pewnie jest za tym jakaś decyzja architektoniczna, żeby skorzystać z tego CBCK, natomiast to jest absolutnie drobna rzecz.

No są przechowywane w kistorze i są przechowywane w właśnie Trusted Execution Environment albo Secure Elemencie, więc nie są nigdzie na waszym dysku.

TLS 1.2 i są wybrane dosyć silne jak na dzisiaj szyfry co do tego, więc tutaj nie mam żadnych zastrzeżeń.

Podsumowując, aplikacja M-Obywatel nie zbiera od nas danych, których nie miałaby celu zbierać.

No nie, korzysta tylko i wyłącznie do skanowania kodów QR albo kodów ASTEC.

Co do lokalizacji, jest konkretny use case.

Co do biometrii, to nie ma dostępu bezpośrednio do naszych odcisków palca, korzysta tylko z systemowych funkcji, które zwracają...

Oni nie zobaczą, jakie masz aplikacje uruchomione na telefonie, jak masz Androida, który jest nowszy niż jedenastka.

Jeżeli chodzi o Firebase'a, czyli zbieranie informacji poprzez Google'a, no to on jest skonfigurowany tak, że tam idą przez niego tylko szyfrowane wiadomości push.

Ona też nie służy do tego, żeby Was śledzić.

A jeżeli macie ochotę na przykład mnie wesprzeć, to zapraszam Was na Patronite'a albo zapraszam Was do newslettera na uczmnie.pl.

Tymczasem dziękuję za Waszą uwagę i do zobaczenia!