PASIVNA ANALIZA BEZBEDNOSTI ANDROID MOBILNE APLIKACIJE “Izabrani Doktor”

[mikikg]

A jojjj sta ovaj tool radi sa APK : )
https://github.com/skylot/jadx

Probao neki moj APK, vratio sve 1:1 u Java source samo nije mogao da dekompajlira .so pisan u C koji sam zapakovao unutra : )

[progster]

Ja ne vidim sto bi ova aplikacija bila sporna ili opasna po licne podatke zdravstvenih korisnika. Aplikacija ne pravi soppstvenu bazu podataka nego jednostavno pristupa bazi podataka koja je u vlasnistvu Ministarstvu Zdravlja. E sad da bi aplikacija izdvojila(ponudila) vase podatke o izabranom lekaru i zakazavivanje pregleda mora se bazi pristupiti putem nekog ID-a koji je u ovom slucaju vas LBO (ili kako se vec zove). Davanje tog LBO-a je jedini kriticni podatak za koji morate da odlucite dali cete ga nekome javno dati ili necete. To isto kao kad na kasi u marketu PIN sa kartice saopstite prodavcu ili ga sami kucate u uredjaj. Morate biti sveni da  u oba slucaja vi ste posredno ili neposredno dali vas PIN na "izvolte" nekome ko sa tim PIN-om pristupa vasim podacima o racunu u Banci..
Sto se tice aplikacije "Izabrani Doktor" koja na testu koji je @1van uradio i objavio i nije tako lose prosla. Obzirom da se radi o nekoj prvoj verziji (u medjuvremenu izasao je jedan update) i sigurno da ce se sigurnost koriscenja aplikacije podignuti na visi i sigurniji nivo.
Nas Poverenik za zastitu licnih podatak, Sabic svoju primedbu na softver je stavio u kontekstu krsenja zakona po kojem on nije obavesten o softveru koji koristi licne podatke gradjana Srbije i  o nazivu firme (koja je inace iz Nisa) koji se, greskom ili ne, razlikuje u nazivu (International ili Internacional).
Ako je Ministarstvo odobrilo pristup njihovoj bazi o zdravstvenim osiguranicima verovatno je i vodilo racuna o zloupotrebi tog pristupa i taj pristup verovatno je radjen na nivou API-a gde aplikacija ima odredjeni nivo pristupa od strane samih developera.
Jedino sporno i neprihvaceno sta moze da bude  kod ove aplikacije je upravo to sto je @ddanijel naveo kao primer upotrebe u praksi. Tehnoloska nepismenost veceg broja, pogotovo, starijih osiguranika i trud medicinskog osoblja da prihvate novonastale izmene vezane za njihoh svakodnevni rad.

p.s.
Koristili mi ovu aplikaciju ili ne cinjenica je da "tamo negde"(citaj baza podataka) postoje podaci o nama. Ako nekome ti podaci zatrebaju zbog zloupotrebe oni ce se domoci njih na bilo koji nacin pa i putem ovakvih aplikacija,,,,,

Naravno, ali nije isto da li podaci postoje u bazi koja je zaštićena (bar bi trebalo da bude), ili su nezaštićeni u našem džepu...
Zamisli da se u prodavnicama ne koriste POS terminali nego da se sve obavlja preko kompjutera, nekriptovano, bez zaštite. Bukvalno svaki klinac bi mogao da sakuplja informacije o karticama i pinove pomoću aplikacije u par redova. : A normalno da nisu 100% sigurni nigde, sve dok postoji fizički ili mrežni pristup toj lokaciji...

[me[R]a]

Naravno, ali nije isto da li podaci postoje u bazi koja je zaštićena (bar bi trebalo da bude), ili su nezaštićeni u našem džepu...
Zamisli da se u prodavnicama ne koriste POS terminali nego da se sve obavlja preko kompjutera, nekriptovano, bez zaštite. Bukvalno svaki klinac bi mogao da sakuplja informacije o karticama i pinove pomoću aplikacije u par redova. : A normalno da nisu 100% sigurni nigde, sve dok postoji fizički ili mrežni pristup toj lokaciji...

Ne znam dali ste pokrenuli ovu aplikaciju ali kad se prvi put registrujete putem LBO-a i ostavite vas broj mobilnog telefona vise nigde u aplikaciji ti podaci nisu vidljivi i jedino sto bi neko mogao da uradi ako se domogne vaseg telefona jeste to da umesto vas zakaze lekarski pregled na koji se necete pojaviti i da vidi ko vam je izabrani lekar... A vas LBO ne moze da vidi... A mozete i da se "Odjavite" iz aplikacije ali onda morate pri ponovnom pokretanju proci ponovo postupak registracije...

[progster]

Nije poenta da nešto fizički nije vidljivo, poenta je da to može negde da bude sačuvano i da se može na neki pristupiti/pokupiti. Ili da aplikacija ima propust i da dopusti da se preko nekog porta pristupi storage-u, i tako dobije pristup SVEMU na telefonu.
Ne mora čak da bude problem u LBO, recimo da je on savršeno bezbedan, ali ukoliko postoji propust u aplikaciji, i neko preko interneta može da pristupi drugim fajlovima u telefonu (možda mnogo bitnijim od LBO?). Aplikacija ne mora sebe da ugrozi, ali može da ugrozi druge aplikacije i fajlove...
Pričam hipotetički, nisam testirao aplikaciju da znam da li postoje propusti te vrste, samo hoću da kažem da je zaštita od ljudskog oka najbanalnija...

[1van]

A jojjj sta ovaj tool radi sa APK : )
https://github.com/skylot/jadx

Probao neki moj APK, vratio sve 1:1 u Java source samo nije mogao da dekompajlira .so pisan u C koji sam zapakovao unutra : )

Probaj https://github.com/linkedin/qark/ ili https://labs.mwrinfosecurity.com/tools/drozer/, mada u ovom slucaju dovoljan je i grep

[1van]

@YuMERA

Ja ne vidim sto bi ova aplikacija bila sporna ili opasna po licne podatke zdravstvenih korisnika.

1. Zato sto nije tesko saznati neciji LBO
2. Zato sto se niko nije ni potrudio da primeni osnovne mere zastite podatka na telefonu korisnika (npr nakon koriscenja aplikacije)
3. Zato sto je kod napisan tako da preskace/zaobilazi inace predvidjenje mere zastite
4. Zato sto tvojim licnim podacima raspolaze firma ciji su serveri van tvoje zemlje
5. Zato sto aplikacija zeli da pristupa drugim podacima na tvom telefonu

Sto se tice aplikacije "Izabrani Doktor" koja na testu koji je @1van uradio i objavio i nije tako lose prosla. Obzirom da se radi o nekoj prvoj verziji (u medjuvremenu izasao je jedan update) i sigurno da ce se sigurnost koriscenja aplikacije podignuti na visi i sigurniji nivo.

Ovo nije prva verzija i aplikacija je prosla ocajno. Testirao sam samo dva sata i to bez aktivacije, dakle nisam "ulazio" u aplikaciju (kako je predvidjeno) i nisam komunicirao sa API servisima. Da imam odobrenje vlasnika da testiram taj deo verovatno bi imali mnogo veci problem sada ...

Ako je Ministarstvo odobrilo pristup njihovoj bazi o zdravstvenim osiguranicima verovatno je i vodilo racuna o zloupotrebi tog pristupa i taj pristup verovatno je radjen na nivou API-a gde aplikacija ima odredjeni nivo pristupa od strane samih developera.

Pa verovatno nije ... pricam iz licnog iskustva a ako ne verujes onda mi odgovori zasto niko nije uradio slican test pre verzije za javnost?
Cak i besplatni online skeneri Android aplikacija bi prijavili vise od pola stvari koje sam nasao.

Koristili mi ovu aplikaciju ili ne cinjenica je da "tamo negde"(citaj baza podataka) postoje podaci o nama. Ako nekome ti podaci zatrebaju zbog zloupotrebe oni ce se domoci njih na bilo koji nacin pa i putem ovakvih aplikacija,,,,,

Tacno ali takodje mozemo i da radimo na tehnoloskoj pismenosti i da edukujemo jedni druge. Kao i da stitimo prava koja imamo.


Da se razumemo, meni je super to sto sve mozemo da odradimo online ali da pri tome ti servisi stvarno rade i da usput ne (pro)dajemo nase licne /privatne podatke svima redom. 

P.S. Pogledaj npr ovaj link: https://security-net.biz/ssl-monitor-rs-services.html

[mikikg]

Najgori scenario koji sledi bar do njihove tamo neke 3.0 verzije je taj sto taj problem ne moze da se resi u par updejtova aplikacije, oni ako nisu u startu razmotrili ceo koncept sigurnosti i web aplikacije i i web servisa koji pruza uslugu to je onda grdan problem za developere i projekt menadzere i cak sve vislje instance koje su dozvolile to da se dogodi! TO je problem, oni nemaju uopste svest o tome koliko je to problematicno jer da imaju trunku obzira onda bi pokrenuli taj jedan tupavi online test makar da ga validiraju na neke osnovne stvari a gde je kompletna zastita tu nasih podataka? To je podsmevanje zdravom razumu, zbog toga trubimo ovde u temi.
QA menagdzeri u firmi odkaz momentalni ... napravili su glupost i sebi i drugima, ukopali su firmu jer su dozvolili da se tera toliko dugo u tom pravcu sa totalno promasenim konceptom sigurnosti, treba ce im silna muka da se prepakuje to i prepise ponovo i to sve zbog OWASP koji smo ovde na forumu spomenuli bezbroj puta a koji su oni jednostavno igrnorisali vec nekoliko godina unazad.

[mikikg]

I ovo da dodam posto je to klasican slucaj, mnoge programerske firme imaju problema sa klientima jer kada im spomenes da bi u cilju cuvanja bilo kakvih privatnih podataka, posebno licnih, LB, MB, OLB i drugo morao da imas vrlo kompleksnu serversku postavku i inace postavku aplikacije koja je daleko skuplja od obicnih resursa jednog shared-hosting i slicno oni jednostavno prevrcu ocima i sa komentarima ma gde to 'si lud, izvini nisam lud i ako neces to da prihvatis ja necu da radim taj projaket, cao! Neka ide kod drugog pa da zavrse ko ova mucena firma iz Nis-a

U Evropskoj Uniji postoji zakon kojim se propisuje da sav SW koji je recimo vezan za jednu firmu koja pruza bilo kakvu online uslugu mora da bude iskljucivo na svom posebnom odvojenom serveru, ne sme da se mesa na istom serveru neka druga firma sa drugim projektom iako to server mozda moze bez problema da uradi, fizicki mora da se razdvoji jer se tako stvara makar minimum izolacije izmedju pojedinacnih instanci sistema kako bi se bar malo smanjila izlozenost potencialnim opasnostima koje su tokom godina uocene kada se to sve vozilo na istim serverima. TO je zakon, ako se ne ispostuje svasta moze da bude!

[1van]

Evo odlicnog objasnjenja gde je problem, odgledajte ceo video:

https://www.youtube.com/watch?v=c46owoT271Y

[1van]

Ako neko ima vremena moze i da poseti konferenciju za medije:

Конференција за медије поводом ризика обраде података о личности у апликацији „Изабрани доктор“

Повереник за информације од јавног значаја и заштиту података о личности одржаће у среду 6.6.2018. године у 9,30 часова у „Медија центру“ (Београд, Теразије 3, мала сала) конференцију за медије поводом ризика и опасности које носи обрада података о личности путем интернет апликације "Изабрани доктор".

[mikikg]

Znaci esklairala situacija? I treba da eskalira, valjda ce posle toga neko da se opameti bar malo ...
Dosta je bilo takvog bahatog ponasanja sa nasim privatnim podacima ...

[pakonja]

Znaci esklairala situacija? I treba da eskalira, valjda ce posle toga neko da se opameti bar malo ...
Dosta je bilo takvog bahatog ponasanja sa nasim privatnim podacima ...

Lepo je biti optimista, ali ne zaboravi gde zivis...

[mikikg]

Nase je da o tome cvrčimo, ko ce da poslusa neka poslusa, ko nece sta da mu radim : )
Mora da se podigne svest o tome, posebno u programerskim krugovima jer to njima nije bas nepoznato, poznato im je sigurno samo ste se iz X razloga toga ne pridrzavaju cak na momente i namerno ignorisu jer im je "smor" da to sad nesto prepravljaju. To ne moze tako ...

[1van]

@mikikg nazalost @pakonja je verovatno u pravu sto se tice posledica i ove nemarnosti drzave ... ali svejedno, mi vec 10ak godina neumorno skrecemo paznju i tako ce i da ostane

Da bi zlo napredovalo, dobri ljudi trebaju samo - ne činiti ništa. - Edmund Burke

[pakonja]

@1van, odlican citat... upravo je zato meni drago sto postoje ljudi kao vi koji kako @mikikg rece "cvrce"... Jer ako se samo cuti mnoge stvari prodju neprimeceno... Samo napred ljudi i "cvrcite" sto glasnije - da sto vise ljudi cuje... Valjda ce doci i taj dan da neko sa sluhom poslusa "cvrcke" i da pocne da radi nesto na bolje...

Poverenikova reakcija je za svaku pohvalu i drago mi je sto su tako odreagovali... jos samo da se neko ozbiljno kazni zato sto je takvu aplikaciju sa tako velikim propustima pustio u produkciju i to na drzavnom nivou... Ipak to nije "mali Pera iz komsiluka" koji je napisao aplikaciju i pustio je u prodaju, ovo je na drzavnom nivou i placeno nasim novcem od poreza i ima pristup nasim veoma osetljivim podacima... ali kao sto rekoh to ce biti tandara-mandara-broc i pojeo vuk magarca, mozda ce neki lik iz QA da dobije malo po dupetu i tu ce da se sve slegne... i onda idemo opet iz pocetka sa nekom novom aplikacijom ili uslugom ili.........

[mikikg]

Hmm, sad sam tek odgledao video #29

Oni ce morati momentalno da ugase servis koliko vidim!
Oni su koristili LBO za autorizaciju, kuku majko moja ....

[Gosha]

Hmm, sad sam tek odgledao video #29

Oni ce morati momentalno da ugase servis koliko vidim!
Oni su koristili LBO za autorizaciju, kuku majko moja ....

Ne razumem se mnogo u IT ali ovi vec godinma koriste aplikacuju gde je user i pass JMBG.

http://www.lpa.ni.rs/dispatch?s=login

Ne znam koliko je to opasno?


edit: Sad videh da je moguca promena login podataka, ali default-tni podaci su JMBG.

[mikikg]

A jojjj ... kako sam ono bese rekao, "dzaba kad na sred čela aplikacije pise "uhakuj me" !

[branko tod]

Nema direktne veze sa IT, ali ima sa bahatim odnosom prema nama i našim podatcima. Stigao mi je neki uređaj
na ime iz neke zemljei i upadao je carinsu kvotu. Na žalos poslali su ga sa DHL, i mene pozove neko žensko iz
iz njihovih redova. Obavesti me da je to kod njih i da treba da im pošaljem neku saglasnos u kojoj traže, između
ostalog matični broj i kao vrhunac da im pošaljem i očitanu ličnu kartu na čitaču. Ja poludim i kažem da ne dam te
podatke i da oni nemaju pravo da to traže. Kaže ona tako je po njihovoj proceduri i da to traži carina. Svakakvih je
bilo tu reči, i zvanja carinske centrale i td. Ispostavilo se na kraju da to carina može da traži samo lično u pisanoj
formi uz saglasnost stranke u posebnim uslovima. Ipak sam morao da odem do Banovaca, da se isvađam sa svima
kao i sa carinikom u njihovoj ispostavi jer ih je on branio. Na kraju sam robu ocarinio samo uz pokazivanje lične karte
i bez upisanog JMBG u carinskoj deklaraciji.
Šta je poenta moje pobune? Neko ko ima moju očitanu LK može recimo ladno da ode u APR i otvori nešto na mene
uz odgovarajuće muvanje i da kupi boga oca ili da u nekoj banci smuva neki kreditić, a ja posle da trljam glavu.

[mikikg]

Haaa, cuj ovo!

Isti slucaj, isto izjava, samo sto sam tad morao strogo ja da vodim racuna pa sam to poslao u specialno formatiranom PDF dokumentu, digitalno potpisan, sa tacnom naznakom zasta sam to ustupio i za tacno redni broj tamo nekog paketa. To je digitalno potpisano. Nemoj slucajno da se zajebavaju da to nadjem negde znaci ne znam sta da ti kazem da ce da se desi : )
Inace sam to osmislio sa vrlo specificnim razlogom, sta mislis da li su mi trazili sledeci put za slicnu situaciju i ako sam napisao da prethodna izjava vazi samo za predhodni paket?

A cuj jos i ovo, jednom sam ih i "upecao", kod registracije firme postavio sam specalno nov kreiran email account za to kada sam podnosio PAPIRNU prijavu u APR, sutradan mi je stigao nekakav SPAM na srpskom sa nekim proizvodima bla bla bla ...
I sta covek da kaze na to, to nece moci tako vise, stvarno ...