Vlákno názorů k článku Ministerstvo zdravotnictví zveřejnilo smlouvy o chytré karanténě a aplikaci eRouška od anonym - eRouška je aplikace, kterou by nikdo neměl provozovat...
-
eRouška je aplikace, kterou by nikdo neměl provozovat na starších telefonech (nejsou na ně s velkou pravděpodobností vydány záplaty) a na telefonech, které nemají záplaty na Bluetooth ( February 2020 security patch - záplata na BlueFrag https://www.andreafortuna.org/2020/02/13/bluefrag-cve-2020-0022-a-critical-bluetooth-vulnerability-in-android/)
Kdo nemá záplaty na předchozí BlueBorne (https://www.armis.com/blueborne/) a chodí se zapnutým Bluetooth, je naprostý šílenec.
Autorům aplikace jsem vyplnil issue na Githubu. Můžete si počíst
https://github.com/covid19cz/erouska-android/issues/187
O problémech tedy autoři (plus někteří další z iniciativy) ví, přesto hodlají aplikaci natlačit všem uživatelům (podporován je Android 5). Pokud by totiž uživatele informovali o tom, že nemá bezpečný telefon, nebo mu nepovolili ani instalaci, přišli by o uživatele, které "potřebují"
Jejich hra na boha s tím, že nám přeci jde o "nějakou věc" je velmi smutná. Do budoucna nemám k podobným projektům žádnou důvěru. Je jejich morální povinností uživatele plošně informovat a ne zatloukat. Místo toho sdílí propagaci na eRoušku třeba od Kovyho o tom, jak je vše skvělé a perfektní.
Zaděláváme si na kybernetickou hrozbu jak víno.Na základě tlaku, který jsem na ně vytvářel říkali, že by informaci mohli dát aspoň do sekce "Často kladené otázky"
Zatím ji tam nevidím (stejně to nikdo neuvidí).
Místo toho tam najdete toto"Některé starší modely telefonů (např. Google Nexus 5, Honor 7 lite, atp.) mohou fungovat jen částečně - vidí přes Bluetooth telefony v okolí, ale ostatní smartphony je bohužel zpětně nevidí. Důvodem je, že ještě nejsou vybavené funkcí Bluetooth LE Advertising. I přesto má jejich použití smysl."
-
Dobrý den, chci se zeptat - proč je "eRouška je aplikace, kterou by nikdo neměl provozovat na starších telefonech" ?
Nemá to tvrzení být, že obecně bluetooth se podle vás nemá používat na starších telefonech? Přejde mi že při počtu prodané wearable elektroniky je počet uživatelů eRoušky absolutně zanedbatelný. To samé bude platit pro počty lidí co mají handsfree v autě a s BT v telefonu nemanipulují.
Takže pokud vám jde o osvětu, přijde mi že není napnuta správným směrem
-
Hezký den,
ano, máte úplnou pravdu. Celé znění by mělo být, že na starších telefonech by lidé neměli nechávat bluetooth zapnutý.O osvětu by se tu někdo do budoucna postarat měl, protože tohle je časovaná bomba z hlediska kybernetické bezpečnosti.
A proč tedy právě eRouška ne?
1) Je to aplikace vydávaná státem. Není to nějaká běžná aplikace, kterou si někdo dobrovolně na své riziko stáhne a používá. Stát by měl dávat určité garance a tohle je jedna z nich. Dovedete si například představit, že by příští volby proběhly elektronicky a byly k dispozici i aplikace pro Android? Bylo by správné nechat aplikaci běžet na velmi starých zařízeních bez bezpečnostních záplat?2) eRouška na bluetooth spoléhá - bez něj nemá aplikace smysl. Výsledky a přínos této aplikace ale budou jen těžko hodnotitelné. Na misky vah se tedy přímo dává nejistý přínos, ale jisté riziko (u dotčených telefonů). Autoři aplikace ale odmítají důrazněji varovat uživatele bez bezpečnostních záplat. Naopak píší, že i na velmi starých telefonech (Nexus 5 a podobně) má smysl aplikaci provozovat (byť poběží v omezeně funkčním režimu - viz FAQ eroušky). Autoři vědí, že tyto telefony žádnou bezpečnostní aktualizaci už nemají. Takové doporučení je v rozporu s dobrými mravy. Další morální problém je v tom, že řada uživatelů bluetooth nepoužívá (například starší lidé s chytrými telefony (a obvykle to nejsou poslední modely telefonů)). Aplikace je "donutí" toto zařízení používat pod záminkou dobra pro společnost.
Autoři odmítají posunout podporovaná zařízení až někam k Android 8, kde existuje daleko vyšší šance, že uživatel má k dispozici aktualizace.3) Jde tu o budování důvěry. V médiích uslyšíte, že špičky našeho IT se spojily a vytvořily něco pro naši zemi. Vše je parádně zabezpečeno a nikdo se nemusí bát ani špehování ani o své údaje a data.
Jak bude reagovat veřejnost, až se dozví, že hodnocení rizika pro uživatele udělal někdo už za ně a bez jejich vědomí a to směrem proti jejich bezpečnosti.
U eRoušky neustále slyšíte pozitiva. Dokonce i v části FAQ týkající se bezpečnosti bluetooth (kterou autoři přidali i díky mým výhradám) se dozvíte, že bluetooth je správná volba. Jen si máte nainstalovat poslední aktualizace. Autoři ale přitom vědí, že tuto část jen tak někdo nečte a navíc, že poslední aktualizace telefonu v žádném případě neznamenají záplaty na tyto chyby.
Hodnocení rizik pro uživatele autorům aplikace prostě nepřísluší. Navíc je jasně vidět (viz issue na githubu), že nechtějí přijít ani o jednoho uživatele, kterého by informace o nebezpečnosti jeho vlastního zařízení mohla od instalace odradit.
Přijde vám tento způsob morální?Snad se shodneme, že od čínského výrobce bezdrátových sluchátek nemůžete požadovat tak morální chování jako od vlastního státu.
Mimochodem prohlédněte si posudky na tuto aplikaci. Uvidíte, jestli tyto jsou důvěryhodné a nezávislé.
