Mentionsy
Mateusz Chrobok
10.08.2025 18:02

Czy mObywatel szpieguje Polaków?

🚨 W dzisiejszym materiale rozprawimy się z tematem, który niedawno rozgrzał sporą część publiki do czerwoności. Czy faktycznie jest powód do siania paniki? ‼️ Nie wierzysz mi na słowo? (bardzo dobrze!) Spróbuj sam i sprawdź mObywatela! 1. Najpierw zainstaluj java JDK 11, apktool (i opcjonalnie jadx) Na macOS komendą brew install openjdk@11 apktool jadx Na Ubuntu / Debian sudo apt install -y openjdk-11-jdk apktool jadx 1. Pobierz plik .apk. Ja pobierałem ze strony apk mirror po wyszukwaniu mobywatel. Na przykład tu https://www.apkmirror.com/apk/ministerstwo-cyfryzacji/mobywatel-publiczna-aplikacja-mobilna/mobywatel-4-60-0-4602-release/ UWAGA! Nie zachęcam do instalacji aplikacji spoza Sklepu Play 2. Dekompilacja do Smali / zasobów komendą: apktool d mobywatel_cala_nazwa.apkm -o decompiled 3. (opcjonalnie) Podgląd kodu w Twoim ulubionym edytorze lub: jadx-gui decompiled/classes*.dex Źródła: ❓Czy mObywatel szpieguje obywateli? https://www.gov.pl/web/cyfryzacja/czy-mobywatel-szpieguje-obywateli?trk=feed-detail_comments-list_comment-text 👂Aplikacja mObywatel, która wprowadził PiS, szpieguje Polaków jak Pegazus. T. Szwejgiert, Jan Piński https://www.youtube.com/watch?v=KeTQt1d4SbI 🗣️ Moja rozmowa z ChatemGPT https://chatgpt.com/share/688c7d6b-331c-800e-8a91-d21448f2cb7a 🐦 twixxer @ dawid_adamczyk https://x.com/dawid_adamczyk/status/1949793388997255504?t=hrNCrO0uYoBjqrAFQ8QKaQ&s=19 🐦 twixxer @ Jan_Pinski https://x.com/Jan_Pinski/status/1950327044253827256?t=bhEHsYqwwWYt4eeD1cHp_w&s=19 🐦 twixxer @ InfZakladowy https://x.com/InfZakladowy/status/1809272611806773424 🐦 twixxer @ InfZakladowy https://x.com/InfZakladowy/status/1694091528006726081 📟 Kod źródłowy mObywatela. Co z jego publikacją? https://cyberdefence24.pl/polityka-i-prawo/kod-zrodlowy-mobywatela-co-z-jego-publikacja 🗃️ Dokumentacja API do CEPiK (version: beta) https://api.cepik.gov.pl/doc 🗄️ ePUAP. Dokumentacja usług https://epuap.gov.pl/wps/wcm/connect/17be341a-ad74-49ad-9e14-e2f0cf899bbd/Dokumentacja+usług+v.1.0.pdf?MOD=AJPERES 📱About mObywatel 4.60.0 (4602) https://www.apkmirror.com/apk/ministerstwo-cyfryzacji/mobywatel-publiczna-aplikacja-mobilna/mobywatel-4-60-0-4602-release/ 📑 Omówienie CameraX https://developer.android.com/media/camera/camerax?hl=pl 📎 @[email protected] https://pol.social/@fedigov/111693546829778666 📒 Trusted execution environment https://en.wikipedia.org/wiki/Trusted_execution_environment 📁 FRIDA https://frida.re/docs/android/ 🤖 System magazynu kluczy Android https://developer.android.com/privacy-and-security/keystore?hl=pl Relevant xkcd: https://xkcd.com/386/ © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. ❤️ Dziękuję za Waszą uwagę. Znajdziecie mnie również na: Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/ Twixxerze @MateuszChrobok https://twitter.com/MateuszChrobok Mastodonie https://infosec.exchange/@mateuszchrobok LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/ Patronite https://patronite.pl/MateuszChrobok Rozdziały: 00:00 Intro 25:20 Więcej kodu 35:14 Wchodzimy głębiej 37:39 Mechanizmy obronne mObywatela 44:20 Kryptografia w mObywatelu #mObywatel #szpiegowanie #aplikacja #obywatele #bzdurabezpieczeństwa

Google Pegasus Firebase Janka Google'a AS Trusted Execution Environment ASTEC Tomka Pegasusie M- NASK FCM Exposed Apple

Szukaj w treści odcinka

Wyczyść
Znaleziono 15 wyników dla "Google"

Po drugie, M-Obywatel zawiera komercyjne skrypty śledzące, takie jak Google Firebase Analytics, które zbiera dane marketingowe.

Ja bardzo lubię i cenię firmę Google, natomiast ja nie wiem, przepraszam, kto to zrobił, kto wrzucił komercyjne narzędzie do zbierania danych.

Delikatnie głębiej, to co jest wysyłane i musi być wysyłane, to jest device token, czyli informacja, które to jest konkretne urządzenie, no bo Google musi wiedzieć, do którego urządzenia coś wysyła.

I co ciekawe, zaszyty jest w kodzie klucz API do Google Maps.

To nie jest jakiś duży problem bezpieczeństwa, ale każde hardkodowanie kluczy jest złym pomysłem, bo potencjalnie ktoś mógłby wyciągnąć ten kluczyk i potem nabić duży rachunek albo spowodować, że Google zablokuje to.

Kolejny element to Google Play Integrity, to znaczy sam Google dostarcza takiego mechanizmu atestacji i sprawdzania, czy rzeczywiście to jest ta konkretna aplikacja, która jest na urządzeniu i nie została podmieniona, albo czy system cały czas poprawnie działa.

To jest element, w który musielibyśmy dosyć długo wchodzić głębiej, natomiast cała idea polega na tym, że Google niejako sprawdza i weryfikuje, czy nasz system operacyjny nie został w pewien sposób skompromitowany.

I poprzez zweryfikowanie tego po stronie serwerowej przez Google i naszego urządzenia widzimy, ok, ktoś tutaj nie mieszał palców, nie zepsuł na przykład tego Trusted Execution Environment, gdzie się dzieją rzeczy, system wygląda zdrowo.

M-Obywatel korzysta z tego API, którego dostarcza Google, żeby sprawdzić, że rzeczywiście nic takiego się nie wydarzyło.

Sprawdzamy z Googlem, czy...

Jeden do Google Maps, który wiemy do czego służy, drugi do Firebase, żeby działały pushe i trzeci to jest Web Client, czyli do tego, żeby można było łączyć się z stronami rządowymi.

Dwa służą do tego, żeby można było się połączyć z stronami gov.pl i jeden z Google.

Klucze Google'a, no to klucze Google'a tutaj nie ma w ogóle w co wchodzić.

Klucz do Google'a, RSA 4K.

Jeżeli chodzi o Firebase'a, czyli zbieranie informacji poprzez Google'a, no to on jest skonfigurowany tak, że tam idą przez niego tylko szyfrowane wiadomości push.

Ostatnie odcinki