Mentionsy
Mateusz Chrobok
10.08.2025 18:02

Czy mObywatel szpieguje Polaków?

🚨 W dzisiejszym materiale rozprawimy się z tematem, który niedawno rozgrzał sporą część publiki do czerwoności. Czy faktycznie jest powód do siania paniki? ‼️ Nie wierzysz mi na słowo? (bardzo dobrze!) Spróbuj sam i sprawdź mObywatela! 1. Najpierw zainstaluj java JDK 11, apktool (i opcjonalnie jadx) Na macOS komendą brew install openjdk@11 apktool jadx Na Ubuntu / Debian sudo apt install -y openjdk-11-jdk apktool jadx 1. Pobierz plik .apk. Ja pobierałem ze strony apk mirror po wyszukwaniu mobywatel. Na przykład tu https://www.apkmirror.com/apk/ministerstwo-cyfryzacji/mobywatel-publiczna-aplikacja-mobilna/mobywatel-4-60-0-4602-release/ UWAGA! Nie zachęcam do instalacji aplikacji spoza Sklepu Play 2. Dekompilacja do Smali / zasobów komendą: apktool d mobywatel_cala_nazwa.apkm -o decompiled 3. (opcjonalnie) Podgląd kodu w Twoim ulubionym edytorze lub: jadx-gui decompiled/classes*.dex Źródła: ❓Czy mObywatel szpieguje obywateli? https://www.gov.pl/web/cyfryzacja/czy-mobywatel-szpieguje-obywateli?trk=feed-detail_comments-list_comment-text 👂Aplikacja mObywatel, która wprowadził PiS, szpieguje Polaków jak Pegazus. T. Szwejgiert, Jan Piński https://www.youtube.com/watch?v=KeTQt1d4SbI 🗣️ Moja rozmowa z ChatemGPT https://chatgpt.com/share/688c7d6b-331c-800e-8a91-d21448f2cb7a 🐦 twixxer @ dawid_adamczyk https://x.com/dawid_adamczyk/status/1949793388997255504?t=hrNCrO0uYoBjqrAFQ8QKaQ&s=19 🐦 twixxer @ Jan_Pinski https://x.com/Jan_Pinski/status/1950327044253827256?t=bhEHsYqwwWYt4eeD1cHp_w&s=19 🐦 twixxer @ InfZakladowy https://x.com/InfZakladowy/status/1809272611806773424 🐦 twixxer @ InfZakladowy https://x.com/InfZakladowy/status/1694091528006726081 📟 Kod źródłowy mObywatela. Co z jego publikacją? https://cyberdefence24.pl/polityka-i-prawo/kod-zrodlowy-mobywatela-co-z-jego-publikacja 🗃️ Dokumentacja API do CEPiK (version: beta) https://api.cepik.gov.pl/doc 🗄️ ePUAP. Dokumentacja usług https://epuap.gov.pl/wps/wcm/connect/17be341a-ad74-49ad-9e14-e2f0cf899bbd/Dokumentacja+usług+v.1.0.pdf?MOD=AJPERES 📱About mObywatel 4.60.0 (4602) https://www.apkmirror.com/apk/ministerstwo-cyfryzacji/mobywatel-publiczna-aplikacja-mobilna/mobywatel-4-60-0-4602-release/ 📑 Omówienie CameraX https://developer.android.com/media/camera/camerax?hl=pl 📎 @[email protected] https://pol.social/@fedigov/111693546829778666 📒 Trusted execution environment https://en.wikipedia.org/wiki/Trusted_execution_environment 📁 FRIDA https://frida.re/docs/android/ 🤖 System magazynu kluczy Android https://developer.android.com/privacy-and-security/keystore?hl=pl Relevant xkcd: https://xkcd.com/386/ © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. ❤️ Dziękuję za Waszą uwagę. Znajdziecie mnie również na: Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/ Twixxerze @MateuszChrobok https://twitter.com/MateuszChrobok Mastodonie https://infosec.exchange/@mateuszchrobok LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/ Patronite https://patronite.pl/MateuszChrobok Rozdziały: 00:00 Intro 25:20 Więcej kodu 35:14 Wchodzimy głębiej 37:39 Mechanizmy obronne mObywatela 44:20 Kryptografia w mObywatelu #mObywatel #szpiegowanie #aplikacja #obywatele #bzdurabezpieczeństwa

Google Pegasus Firebase Janka Google'a AS Trusted Execution Environment ASTEC Tomka Pegasusie M- NASK FCM Exposed Apple

Szukaj w treści odcinka

Wyczyść
Znaleziono 34 wyników dla "M-"

I przyznam szczerze, nie spodziewałem się aż takiego odzewu z waszej strony, bo gdy wrzuciłem na Twittera informację o tym, że no ktoś tutaj mówi, że M-Obywatel jest strasznym narzędziem szpiegowskim, niczym Pegasus, Predator czy inne, to okazało się, że ten temat jest bardzo gorący i bardzo nośny i co więcej, sporo osób pisało do mnie w wiadomościach prywatnych, część z was pisała maile, także zgodnie z wolą ludu dzisiaj będzie

Przypomnę taką aplikację M-Obywatel.

Po prostu tak, M-Obywatel ma dostęp, uwaga, do twojej kamery, do twojego mikrofonu, lokalizacji precyzyjnej, pamięci telefonu i teraz uwaga, biometrii i kolejnej rzeczy, listy uruchomionych aplikacji.

Szczególnie ostatnio mnie to bawi, po co M-Obywatel interesuje się, jakie mamy aplikacje na urządzeniu i jakich używamy.

Chciałbym tutaj zacząć zebrać, czyli tu mamy kamerę, która jest sprzętem, a tu mamy aplikację, która jest M-Obywatelem.

I teraz rzeczywiście aplikacja M-Obywatel prosi o uprawnienia do kamery.

Macie to, czyli w każdym momencie państwo może po prostu, jeżeli masz zainstalowaną aplikację M-Obywatel i rządzą ludzie, którym się nie podobasz, którzy chcieliby, nie wiem, dowiedzieć się czegoś na twój temat, zrobić ci krzywdę, dojechać cię brutalnie rzecz biorąc, to w tym momencie okazuje się, że nie trzeba ci instalować Pegasusa, nie trzeba płacić dużo za licencję, po prostu wchodzi się do M-Obywatela i się to uruchamia.

No więc hipoteza, która tu jest przedstawiona przez interlokutora wygląda tak, że mamy jakiś centralny serwer, który łączy się z waszym telefonem, z aplikacją M-Obywatel i zdalnie jest w stanie w tej aplikacji powiedzieć, żeby zrobiła coś, że to będzie jakieś narzędzia do analizy tego, co się dzieje.

I uwaga, M-Obywatel może Ci włączyć telefon.

O, Jany, M-Obywatel może włączyć telefon.

M-Obywatel może ci włączyć telefon.

Po drugie, M-Obywatel zawiera komercyjne skrypty śledzące, takie jak Google Firebase Analytics, które zbiera dane marketingowe.

Ja wiem, że ma pan dużo rzeczy na głowie, ale niech pan im powie, żeby aplikacja M-Obywatel została po prostu odwąsikowana i odcieszyńskowiana, nie wiem, odkaczyńskowienia, nie wiem jak to odmienić.

Aplikacja M-Obywater.

Aplikacja M-Obywatel nie powinna mieć dostępu nagrywania.

M-Obywatel jest aplikacją na waszym telefonie.

To jest taka aplikacja, która wypakowuje to, co znajduje się w aplikacji M-Obywatel.

Natomiast ze względu na to, żeby nie dyskryminować dostępu do usług cyfrowych, aplikacja M-Obywatel działa od Androida 8.

Hipoteza brzmi prawdopodobnie, że jest tu jakaś aplikacja, jakiś m-obywatel, który zbiera informację od moich odciskach palców.

Sytuacja wygląda tak, że żeby na jakimś lotnisku, czy w jakimś innym miejscu, gdzie ktoś pomiędzy Wami, a pomiędzy, nie wiem, na przykład aplikacją bankową, w tym wypadku między M-Obywatelem, czyli mamy na sobie nasz telefon, mamy jakieś Wi-Fi, któremu niekoniecznie ufamy i mamy tutaj serwery gov.pl M-Obywatela.

No więc celowo jest wyłączona obsługa odświeżania tokenów, jest to uruchomione w normalny sposób, to znaczy taki, jaki jest oficjalny, dostarczony przez FCM-a.

Innymi słowy, M-Obywatel nie akceptuje wiadomości, która zostanie wysłana na Wasz telefon, która nie jest zaszyfrowana.

No dobra, ale czy to jest wszystko, co jest związane z M-Obywatelem?

No więc jak w każdym przypadku aplikacji, która stara się dostarczać jakieś usługi, to dotyczy aplikacji bankowych, M-Obywatela i innych, te aplikacje mają dużo defensywnych mechanizmów.

To znaczy wyobraźcie sobie, że ktoś odpala M-Obywatela na przykład na urządzeniu, które jest zrutowane.

Więc wbudowane jest w aplikację M-Obywatel biblioteka, który służy do tego, żeby sprawdzać, czy to urządzenie jest zrutowane, czy nie jest zrutowane.

To, co M-Obywatel widzi w danym systemie, to albo by go zrootował, albo by korzystał z którychś z tych frameworków, a tu oni wykrywają, czy ktoś ich nie oszukuje.

On jest do tego, żeby sprawdzić, czy ktoś na przykład na jednym urządzeniu nie ma zainstalowanych 100 M-obywateli i 100 różnych tożsamości, których wykorzystuje nie wiadomo po co.

Bo gdyby teraz się okazało, że na przykład mój M-obywatel jest uruchomiony, nie wiem, na 100 różnych urządzeniach, no to jest to podejrzane.

A co robi M-Obywatel?

M-Obywatel korzysta z tego API, którego dostarcza Google, żeby sprawdzić, że rzeczywiście nic takiego się nie wydarzyło.

Jest bardzo dużo dobrze zaimplementowanych zabezpieczeń w M-Obywatelu.

A może to jest tak, że ktoś ma jakiś klucz, który jest gdzieś ukryty, który uruchomi po prostu M-Obywatela w trybie teraz będę cię inwigilował.

Podsumowując, aplikacja M-Obywatel nie zbiera od nas danych, których nie miałaby celu zbierać.

Ostatnie odcinki

0:00
0:00