Stát ve spolupráci s mobilními operátory spustil masivní reklamní kampaň na instalaci aplikace eRouška. Pokud ne na všechna telefonní čísla, tak na jejich většinu došla textová zpráva, podepsaná hlavní hygieničkou ČR, která k instalaci aplikace vyzývá.

SMS vyzývající k instalaci eRoušky představují možný bezpečnostní problém
SMS vyzývající k instalaci eRoušky představují možný bezpečnostní problém.
Foto: Michal Altair Valášek

Vodafone a T-Mobile poslaly jednotnou zprávu s odkazem na www.erouska.cz. Operátor O2 k tomu ovšem přistoupil jinak. 

Upozornění redakce: Text bezpečnostního analytika nekritizuje eRoušku jako takovou, ta není sama o sobě rizikem. Kritika míří na způsob komunikace, zejména ze strany O2 CZ.

Tento článek patří do placené sekce.

Pro vás jej odemknul někdo, kdo má předplatné.


Pokud budete předplatitelem, budete moci stejným způsobem odemykat placené články i pro své přátele.
A získáte i řadu dalších výhod.

Zpráva zasílaná O2 má jiného odesílatele, jinou formulaci a především místo odkazu na web eRoušky obsahuje odkaz na adresu http://info.o2.cz/, za kterou následuje desetimístný kód. V prvních pěti alfanumerických znacích je jednoduchým způsobem zakódováno telefonní číslo příjemce, význam pěti posledních číslic mi není znám. Napsal jsem nástroj, kterým lze hodnotu v odkazu dekódovat, je k dispozici na této adrese.

SMS vyzývající k instalaci eRoušky představují možný bezpečnostní problém
SMS vyzývající k instalaci eRoušky představují možný bezpečnostní problém, u O2 je problém i se soukromím.
Foto: Michal Altair Valášek

Z hlediska kybernetické bezpečnosti jsou obě formulace zprávy špatně. Rozhodně není vhodné učit uživatele, aby reagovali instalací aplikace na zprávy zaslané z neověřených a neověřitelných zdrojů. Odesílatele textové zprávy lze - stejně jako odesílatele například e-mailu - zfalšovat, zejména pokud se jedná o textový řetězec typu "www.mzcr.cz" (Vodafone a T-Mobile) nebo SdeleniMZCR (O2).

Nemyslím si, že v tomto případě bylo vhodné přistoupit k masovému spamování obyvatelstva pomocí SMS, ale když už, mělo být jako odesílatel nastaveno funkční telefonní číslo, na které je možné zavolat a reagovat na obsah zprávy. Nabízí se třeba vládní koronavirová infolinka 1221.

Další problém spočívá v odkazu, na který má uživatel klepnout a získat informace o stažení aplikace. Mírně lepší je odkaz na www.erouska.cz, protože to je srozumitelná oficiální adresa, kterou uživatel může opsat a třeba si z jiných zdrojů ověřit, že je platná.

Rizikovost spočívá v tom, že adresa není úplná, mělo by tam být napsáno https://erouska.cz, včetně prvotního určení zabezpečeného protokolu HTTPS. Kvůli tomu, jak je adresa napsána, je uživatel vystaven řadě potenciálních útoků, které HTTPS řeší. Sám web eRoušky je přitom nastaven správně, HTTPS podporuje a v jeho konfiguraci nejsou žádné problémy. Nicméně odkaz je nesprávný.

Související

Odkaz na Info.o2.cz je z hlediska kybernetické bezpečnosti asi to nejhorší, co bylo možné udělat. V první řadě tento server vůbec není dostupný pomocí HTTPS, takže je na něj možné dělat spoustu zábavných man in the middle útoků (útočník v nich přesměruje nic netušícího uživatele na jiné, podvodné nebo škodlivé, stránky, než na jaké se chtěl dostat).

Další problém spočívá v tom, že odkaz je na první pohled zcela nesrozumitelný, a tudíž snadno podvrhnutelný. Učit uživatele, že mají klikat na náhodné adresy různých zkracovačů a trackerů a instalovat aplikace podle instrukcí, které tam najdou, je stejně zodpovědné jako vykládat malým dětem, že v elektrické zásuvce žije malý skřítek, který papá hřebíky.

Třetí problém spočívá ve sledování uživatelů. Unikátní kód za lomítkem obsahuje v prvních pěti znacích jednoduše zakódované telefonní číslo uživatele plus nějakou další informaci ve zbylých znacích, zatím neznámou. To umožňuje sledovat, který z uživatelů na odkaz klikl a který ne.

Sledování úspěšnosti odkazů je běžná marketingová technika. Umožňuje měřit, jaké reklamní kampaně mají větší a jaké menší úspěch. Problém spočívá v tom, že zakrývají skutečný cíl odkazu, a představují tedy bezpečnostní riziko. U kampaně tohoto typu by marketingová hlediska neměla převážit nad bezpečností. Lze uvažovat třeba o tom, že by odkaz vedl na nějakou srozumitelnou adresu v rámci domény eRouška.cz, např. na (nyní neexistující) adresu v duchu "https://sms.erouska.cz", což by byla stránka určená příjemcům textové zprávy s vysvětlením, o co jde. Tím by bylo možné (přibližně) sledovat úspěšnost kampaně, aniž by byla narušena důvěryhodnost.

Větší problém spočívá v tom, že je odkaz personalizovaný a že obsahuje telefonní číslo. Umožňuje tak sledovat nejenom celkové statistiky, ale konkrétně vysledovat telefonní číslo, jehož uživatel odkaz navštívil. Není přitom jasné, k jakým účelům O2 tuto informaci využívá a hlavně proč to dělá takhle očividně hloupým způsobem. Samo navštívení tohoto odkazu v podstatě nic neznamená. Neznamená, že si uživatel aplikaci nainstaloval (odkaz vede na informační stránku) ani že aplikaci nepoužívá (možná si ji nainstaloval už předtím nebo přímo z app storu a tato zpráva je pro něj irelevantní).

Operátor dokáže poměrně snadno detekovat, kteří z jeho uživatelů eRoušku používají. Sice nevím, k jakým legitimním účelům by mu tato informace měla být užitečná, ale může ji získat velice snadno, protože ví, s jakými endpointy (servery) mobilní telefony jeho klientů komunikují. Pokud je komunikace vedena protokolem HTTPS (v což v případě eRoušky doufám), nedokáže zjistit její obsah, ale dokáže zjistit, že k ní došlo.

Pokud O2 návštěvu těchto odkazů sleduje - což lze dost dobře předpokládat - výsledkem bude seznam telefonních čísel uživatelů, kteří klepli na odkaz ze zprávy zaslané jim z nedůvěryhodného zdroje. Dovedu si, pravda, představit celou řadu využití takového seznamu, ale žádná z nich příliš nekoreluje s mou představou toho, co by měl dělat důvěryhodný telekomunikační operátor.

Aktualizace: O2 CZ zaslalo vyjádření, podle kterého jde o nástroj měření efektivity kampaně. Na výhrady v původním textu firma nezareagovala: Odkaz v SMS zprávě, jejímž zadavatelem bylo ministerstvo zdravotnictví, slouží k měření celkového počtu prokliků na webovou stránku erouska.cz. Podoba SMS byla se zadavatelem diskutována a o chystaném zasílání SMS výzvy informovala v tiskovém prohlášení v předstihu i Asociace provozovatelů mobilních sítí (APMS).

 

Při uvedení eRoušky 2.0 jsem napsal, že jde o placebo, které ale pravděpodobně neškodí, na rozdíl od řady jiných státních opatření. Stát nezklamal a dokázal vyrobit nebezpečí a ohrožení i tam, kde předtím nebylo. Nevím, zda je formulace zprávy dílem operátorů, nebo hlavní hygieničky, která je pod ní podepsaná. Nicméně stát, potažmo paní Rážová, si měli zkontrolovat, co se jejich jménem rozesílá.

Vláda koronavirovou krizi nezvládá dobře. Alespoň si to podle říjnového průzkumu společnosti Behavio myslí 55 procent dotázaných. Přičemž často zaznívá i z úst odborníků názor, že i v případě opatření smysluplných nezvládá komunikaci. Masový spam s potenciálně nebezpečnou textovou zprávou je další z nekonečné řady podobných nesmyslných kroků.

Aplikace eRouška se přirozeně a logicky potýká s nedůvěrou uživatelů. Ačkoliv si osobně myslím, že je vytvářena s dobrým úmyslem a že minimálně její současná podoba uživateli pravděpodobně nijak neškodí, komunikace to nepodporuje. Sice jsou zveřejněné zdrojové kódy, ale nelze si ověřit, že odpovídají tomu, co si uživatel skutečně nainstaluje.

Vztah eRoušky se sbírkou zranitelností v Bluetooth na starších telefonech (kde je obecně obtížně použitelná) také není dobře komunikován. Státu se tak obloukem vrací obvyklá argumentace ve stylu "kdo nemá co skrývat, nemá se čeho bát". Přidejte k tomu bezpečnostní riziko nešikovně napsaných SMS zpráv a opravdu hloupý pokus o cílené sledování uživatelů u O2, a i kdyby byly úmysly sebekřišťálovější, důvěru to nevzbuzuje.

Celkový dojem je v lepším případě obvyklá neschopnost a neumětelství, v horším zlý úmysl. Ukazuje se, že i v krizové situaci a s podporou českých technologických firem platí nesmrtelná věta někdejšího ruského premiéra Viktora Černomyrdina: "Měli jsme ty nejlepší úmysly, ale dopadlo to jako vždy."

Související

Líbil se vám článek? Chcete víc takových článků?

Kupte si předplatné a můžete si je číst všechny. Navíc bez reklam a s možností sdílet přátelům.

Vyzkoušejte předplatné HN+

Komentáře ke článku

Adam Sindelar 18.10.2020 14:20
Narozdíl od autora článku skutečně pracuji v bezpečnosti informací pro renomovanou organizaci a jsem zapojen do mainstreamového uvažování v tomto oboru. Přijde mi absurdní že odborník Hospodářských Novin je zjevně kdokoliv kdo se za odborníka sám prohlásí a pracuje v roli, kterou laici nazvou "ajťák". Ano, způsob kterým O2 přesměrovává zákazníky na eRoušku dovoluje O2 identifikovat konkretni lidí kteří na odkaz reagovali. To stejné by ale platilo i kdyby ten odkaz byl přímý, například protože O2 může snadno vidět DNS provoz. Autor článku má zhruba středoškolské pochopení problematiky a je ostuda že si tohle nejsou renomované noviny schopny ověřit.
Adam T 16.10.2020 20:57
Jinak ještě na doplnění - je úsměvné, že zrovna autor, který přímo v jiném svém článku zde na ihnedu, dával odkazy, které měly v odkazu (ale ne v jeho textu) linky s jeho affiliate kódem na různé služby, si na to teď stěžuje jako na nekalé jednání.
Adam T 16.10.2020 20:54
Článek je jak je zvykem autora soupisem jeho naivnich a většinou překonanych pohledu na bezpečnost : - web si sám vynuti přechod na https - to jestli čistě informační web má http nebo https je takřka jedno, ale i tak má https - nedat do zprávy tohoto typu a účelu link na web/aplikaci znamená, že si na to klikne o to min lidí. Jedině s čím jde souhlasit je ten zkracovac o2. Zbytek působí, že si někdo potřeboval kopnout.
Jan Havlíček 16.10.2020 18:11
Představa, že web erouska.cz je díky https důvěryhodnější, než o2.cz, je směšný. Na webu s polmčkou prodávají roušky a https mají. Phishing s přesměrováním na "spolehlivé" adresy je každodenní realitou v našich mailových schránkách, MITM útoky na http (pokud nejste NSA apod) jsou výrazně vzácnější (tipnul bych o několik řádů). To je dost v rozporu s "z hlediska kybernetické bezpečnosti asi to nejhorší" + většina internetu jela ještě před pár lety na http. Celkově mi přijde, že autor vzal něco, co se děje dnes a denně a chtěl plivnout: "Učit uživatele, že mají klikat na náhodné adresy různých zkracovačů a trackerů", odkazy a zkracovače a trackery naprosto normální, děje se všude (twitter, newlettery apod) "Ta od O2 navíc může narušit soukromí" - Naprosto bulvární nadpis, 99% stránek, kterou navštívíte narušují vaše soukromí zcela stejným způsobem, třeba na tomto serveru: Rubicon, Adform, Gemius, Facebook Custom Audience, Facebook connect + zhruba 15 dalších krámů na trackování. "Celkový dojem je v lepším případě obvyklá neschopnost a neumětelství, v horším zlý úmysl." Ano, Mařena co to vytvořila tu kampaň se domluvila s Vendou, že se budou sledovat packety a až budou mít ten seznam Telefon X na to kliknul, tak to prodají na dark webu... Kromě toho jako expert na bezpečnost by "Pokud je komunikace vedena protokolem HTTPS (v což v případě eRoušky doufám)..." měl umět ověřit během pár minut. "Sice jsou zveřejněné zdrojové kódy, ale nelze si ověřit, že odpovídají tomu, co si uživatel skutečně nainstaluje." APK je nějak zašifrovaná nebo co brání autorovi vzít si zdrojáky, porovnat výsledek s tím, co je v app storu? Případně se zeptat někoho, co dělal audit kódu (dle webu jich ta aplikace má pět).
Jaromír Kučera 16.10.2020 12:53
Tenhle článek je věcně správný a i jeho nadpis vystihuje očekávaný obsah. Nicméně nejsem si jistý, zda je publikovaný ve správné době na správné platformě. Určitě bude dost lidí, kteří si neudělají čas si jej přečíst a do podvědomí se jim dostane právě jen nadpis. Pokud patříte do tábora lidí, kteří považují covid-19 za skutečnou hrozbu, pak je nadpis dost kontraproduktivní.
Redakce iHNed - Otakar Schön 16.10.2020 14:43
Autor textu je programátor a bezpečnostní analytik, který spolupracuje i s bezpečnostními službami. S HN spolupracuje dlouhodobě a věc je aktuální, čili vhodnější dobu a platformu si lze těžko představit. Vaše obavy, že to část čtenářů může pochopit špatně, se bohužel potvrdila v praxi, ale není vinou autora, že lidé mají problém pochopit psaný text. To se ale stává i i u zpráv, které nekritizují vládní kroky. Není to otázka "proti covidu nebo s ním", ale ryze praktická záležitost spojená s ochranou soukromí a bezpečností uživatelů na internetu, která se dotkla hrubým odhadem milionů lidí v Česku. A z tohoto pohledu je argument "teď se to nehodí" slabý důvod takový text nevydat.
Newsletter

Týden s technologiemi Otakara Schöna

Události posledního týdne ve světě technologií podle Otakara Schöna

Editor rubriky Tech Otakar Schön pro Vás vybírá nejzajímavější nebo nejzásadnější události ze světa technologií, které se odehrály v uplynulém týdnu. Každý pátek v podvečer najdete ve své mailové schránce.

Přihlášením se k odběru newsletteru souhlasíte se zpracováním osobních údajů a zasíláním obchodních sdělení, více informací ZDE. Z odběru se můžete kdykoli odhlásit.

Přihlásit se k odběru