PASIVNA ANALIZA BEZBEDNOSTI ANDROID MOBILNE APLIKACIJE “Izabrani Doktor”

[progster]

Ja ne vidim sto bi ova aplikacija bila sporna ili opasna po licne podatke zdravstvenih korisnika. Aplikacija ne pravi soppstvenu bazu podataka nego jednostavno pristupa bazi podataka koja je u vlasnistvu Ministarstvu Zdravlja. E sad da bi aplikacija izdvojila(ponudila) vase podatke o izabranom lekaru i zakazavivanje pregleda mora se bazi pristupiti putem nekog ID-a koji je u ovom slucaju vas LBO (ili kako se vec zove). Davanje tog LBO-a je jedini kriticni podatak za koji morate da odlucite dali cete ga nekome javno dati ili necete. To isto kao kad na kasi u marketu PIN sa kartice saopstite prodavcu ili ga sami kucate u uredjaj. Morate biti sveni da  u oba slucaja vi ste posredno ili neposredno dali vas PIN na "izvolte" nekome ko sa tim PIN-om pristupa vasim podacima o racunu u Banci..
Sto se tice aplikacije "Izabrani Doktor" koja na testu koji je @1van uradio i objavio i nije tako lose prosla. Obzirom da se radi o nekoj prvoj verziji (u medjuvremenu izasao je jedan update) i sigurno da ce se sigurnost koriscenja aplikacije podignuti na visi i sigurniji nivo.
Nas Poverenik za zastitu licnih podatak, Sabic svoju primedbu na softver je stavio u kontekstu krsenja zakona po kojem on nije obavesten o softveru koji koristi licne podatke gradjana Srbije i  o nazivu firme (koja je inace iz Nisa) koji se, greskom ili ne, razlikuje u nazivu (International ili Internacional).
Ako je Ministarstvo odobrilo pristup njihovoj bazi o zdravstvenim osiguranicima verovatno je i vodilo racuna o zloupotrebi tog pristupa i taj pristup verovatno je radjen na nivou API-a gde aplikacija ima odredjeni nivo pristupa od strane samih developera.
Jedino sporno i neprihvaceno sta moze da bude  kod ove aplikacije je upravo to sto je @ddanijel naveo kao primer upotrebe u praksi. Tehnoloska nepismenost veceg broja, pogotovo, starijih osiguranika i trud medicinskog osoblja da prihvate novonastale izmene vezane za njihoh svakodnevni rad.

p.s.
Koristili mi ovu aplikaciju ili ne cinjenica je da "tamo negde"(citaj baza podataka) postoje podaci o nama. Ako nekome ti podaci zatrebaju zbog zloupotrebe oni ce se domoci njih na bilo koji nacin pa i putem ovakvih aplikacija,,,,,

Naravno, ali nije isto da li podaci postoje u bazi koja je zaštićena (bar bi trebalo da bude), ili su nezaštićeni u našem džepu...
Zamisli da se u prodavnicama ne koriste POS terminali nego da se sve obavlja preko kompjutera, nekriptovano, bez zaštite. Bukvalno svaki klinac bi mogao da sakuplja informacije o karticama i pinove pomoću aplikacije u par redova. : A normalno da nisu 100% sigurni nigde, sve dok postoji fizički ili mrežni pristup toj lokaciji...