Приложение «Социальный мониторинг» создано для пациентов с COVID-19, которые лечатся в домашних условиях. Разработка позволяет москвичам, у которых болезнь протекает в легкой форме, оставаться дома в комфортных условиях и при этом информировать о добросовестном соблюдении карантина. Рассказываем, как приложение работает и в каких случаях нужно им пользоваться.
Как работает приложение?
При регистрации пользователь подтверждает номер телефона, делает фотографию и делится геолокацией (местонахождением). Это нужно для того, чтобы проверить, находится ли пользователь в той же локации, которую указал в согласии, выбирая лечение на дому.
Чтобы у пользователя не было возможности оставить смартфон дома и выйти на улицу без него, приложение в случайное время присылает пуш-уведомления с запросом дополнительного подтверждения — для этого потребуется сделать селфи.
Что будет, если пользователь нарушит правила?
Если пользователь покидает исходную геолокацию или не реагирует на уведомления, система предупреждает городские службы о возможном нарушении режима изоляции.
Можно ли избежать социального мониторинга?
Кто разрабатывал приложение?
Разработкой приложения занимался Департамент информационных технологий города Москвы.
Какие данные пользователь передает сервису и как они защищены?
Личные данные, которые пользователь передает сервису, определены в согласии на получение медицинской помощи на дому и соблюдение режима изоляции. Пациент обязан подписать документ, если выбирает лечение на дому. Он указывает ФИО, адрес, по которому обязуется находиться на протяжении всего периода лечения, и номер мобильного телефона. Также пациент дает согласие на осуществление фотосъемки и предъявление документа, удостоверяющего личность.
Приложение при авторизации просит подтвердить номер телефона и сделать селфи, а в дальнейшем фиксирует геолокацию и запрашивает фотографию посредством пуш-уведомления.
Все данные, которые пользователь передает приложению, хранятся в защищенном виде на серверах Департамента информационных технологий. После окончания лечения эти данные уничтожаются.
.png)
Получается, что всех пациентов с коронавирусом обязывают пользоваться приложением. Насколько это законно?
Указом Мэра Москвы от 5 марта 2020 года № 12-УМ установлено, что пациенты с подтвержденной коронавирусной инфекцией, проходящие лечение на дому, обязаны использовать технологии электронного мониторинга геолокации, в том числе сервис «Социальный мониторинг».
На дому лечение проходят только те пациенты, у которых заболевание протекает в легкой форме. Они лично подписывают согласие о получении медицинской помощи на дому и соблюдении режима изоляции, в котором обязуются обеспечить регистрацию в приложении «Социальный мониторинг» и его дальнейшее использование.
Что будет, если человек откажется подписать согласие?
Подписание согласия — обязательное условие для прохождения лечения на дому. Пациента, не подписавшего этот документ, госпитализируют в медицинское учреждение.
Как москвичей штрафуют через приложение «Социальный мониторинг»
Я не являюсь пациентом с COVID-19. Смогу ли я воспользоваться приложением?
Нет, приложение создано исключительно для пациентов с подтвержденным коронавирусом. Использовать его для контроля местоположения остальных горожан не планируется. Более того, если человек не является больным COVID-19, он не сможет завершить регистрацию в приложении, поскольку его данные не подтвердятся в базе пациентов.
У меня нет своего смартфона, но я хочу лечиться на дому и обязан пользоваться «Социальным мониторингом». Как быть?
Тем, у кого нет возможности установить приложение на личный смартфон, на время лечения бесплатно предоставляется телефон с установленным приложением. Использовать его как обычный смартфон не получится — все функции кроме «Социального мониторинга» будут заблокированы. После окончания лечения пациент обязан вернуть технику городу для дезинфекции.
Что будет, если пациент откажется устанавливать приложение или перестанет им пользоваться?
Пациент, выбравший лечение на дому, обязан использовать приложение до полного выздоровления и получения отрицательного результата анализа на коронавирус. Если пациент подписал согласие, а затем отказался использовать приложение либо в какой-то момент перестал отвечать на пуш-уведомления, он будет привлечен к административной ответственности и принудительно госпитализирован в медицинское учреждение.
Используются ли подобные сервисы в мире? Доказали ли они свою эффективность?
Ранее ограничительные меры, доказавшие свою эффективность, были приняты в Китае. Если в России приложение будет использоваться только для больных коронавирусом и данные будут передаваться в защищенном виде только специалистами, то в Китае информация о заразившихся доступна практически всем. Например, китайское приложение Close Contact Detector позволяет пользователю проверить, находился ли он в тесном контакте с кем-то из зараженных. Кроме того, в приложении есть карта, показывающая здания, где проживают инфицированные пациенты.
В Польше власти запустили мобильное приложение «Домашний карантин». У людей появляется выбор — или внезапные визиты полиции для проверки соблюдения карантина, или установка приложения. Геолокация и современный алгоритм распознавания лиц позволяет определять, действительно ли человек соблюдает карантин в месте, указанном в форме местоположения.
Какую ответственность ввели за нарушения? Существует ли штраф? Если да, сколько придется заплатить?
За нарушение режима изоляции гражданину грозит штраф на сумму от 15 до 40 тысяч рублей, а также принудительная госпитализация в медицинское учреждение.
Источник: moscowseasons.com
Как работает приложение «Социальный мониторинг»: ответы на вопросы
Для пациентов с подтвержденной коронавирусной инфекцией, которые проходят лечение на дому, создано приложение «Социальный мониторинг». Об этом сообщает портал мэра и правительства Москвы.
Благодаря этому приложению инфицированные москвичи могут оставаться дома и информировать о соблюдении ими карантинного режима. В систему встроена возможность электронного мониторинга, которая фиксирует местонахождение зараженного коронавирусом человека, находящегося на домашнем курсе лечения.
Как работает приложение?
При регистрации пользователь подтверждает свой номер телефона, делает фотографию и делится своим местоположением. Это нужно, чтобы специалисты могли контролировать передвижение пациента.
Выйти на улицу без смартфона пользователь также не сможет. Приложение может в любой момент в течение дня прислать уведомление с просьбой подтвердить свое нахождение дома. Для этого пациенту нужно будет сделать свою фотографию в это же время, сохраненные ранее снимки не подойдут.
Что будет, если пользователь нарушит правила?
Если пользователь покидает указанное в соглашении местонахождение или не реагирует на уведомления приложения, то программа автоматически направляет запрос в городские службы о возможном нарушении изоляции.
За нарушение правил самоизоляции больным грозит административная ответственность и штраф в размере от 15 до 40 тысяч рублей. Кроме того, нарушителя могут отправить на принудительное лечение в один из обсервационных центров, где он будет находиться вплоть до полного выздоровления.
Какие данные пользователь передает сервису и как они защищены?
При установке приложения пользователь соглашается на передачу своих личных данных, куда относится его ФИО, адрес (его постоянное местонахождение) и номер телефона. Также пациент дает согласие на осуществление фотосъемки и предъявление документа, удостоверяющего личность.
При авторизации приложение просит подтвердить номер телефона и сделать селфи. Все передаваемые данные пациентов хранятся в защищенных серверах департамента информационных технологий. После окончания лечения эти данные удаляются.
Получается, что всех пациентов с коронавирусом обязывают пользоваться приложением. Насколько это законно?
Согласно указу Сергея Собянина от 5 марта, все пациенты с COVID-19, проходящие лечение на дому, обязаны использовать технологии электронного мониторинга геолокации, в том числе сервис «Социальный мониторинг».
На дому лечение проходят пациенты с легкой формой болезни. Они лично подписывают обязательное соглашение о получении медпомощи дома и соблюдении режима изоляции. В случае если документ отказываются подписывать, то инфицированного отправляют на лечение в больницу.
Фото: портал мэра и правительства Москвы
Я не являюсь пациентом с COVID-19. Смогу ли я воспользоваться приложением?
Нет, приложение создано только для пациентов с COVID-19. Кроме того, если человек не заражен коронавирусом, завершить регистрацию в приложении у него не получится. Использовать программу в дальнейшем для отслеживания местоположения граждан не планируют.
Что делать, если у меня нет своего смартфона, но я хочу лечиться на дому и обязан пользоваться «Социальным мониторингом»?
Тем, у кого нет собственного телефона, на время лечения предоставляется на бесплатной основе смартфон с уже установленным приложением. Он ориентирован только на данное приложение, использовать его в других целях не получится, все остальные функции заблокированы. После лечения вся техника возвращается обратно.
Что будет, если пациент откажется устанавливать приложение или перестанет им пользоваться?
Если вдруг пациент подписал соглашение и впоследствии отказался пользоваться приложением или перестал реагировать на уведомления, то его могут привлечь к административной ответственности или отправить на принудительное лечение в больницу.
Используются ли подобные сервисы в мире? Доказали ли они свою эффективность?
Ранее эффективные ограничительные меры были предприняты в Китае. Однако если в России приложение доступно только для больных коронавирусом и данные могут просматриваться только соответствующими специалистами, то в Китае информация об инфицированных доступна практически всем жителям.
Например, китайское приложение Close Contact Detector позволяет выявить контакт зараженного с другими людьми. Также в приложении есть карта с отмеченными зданиями, где проживают пациенты с COVID-19.
В Польше работает мобильное приложение «Домашний карантин». Пациентам предлагают установить приложение или согласиться на постоянный визит сотрудников полиции, которые могут посещать больных в любое время для проверки соблюдения карантина.
За последние сутки в Москве обнаружили 1 959 новых случаев заражения коронавирусом. Всего в столице за все время медицинских наблюдений зарегистрировали 33 940 человек, которые заболели COVID-19. Общая численность инфицированных на территории РФ составляет 62 773 человека.
В Москве запустили приложение для лечащихся дома от коронавируса
Источник: www.m24.ru
Мониторим мониторинг. Что внутри у приложения для изоляции на дому
Приложение «Социальный мониторинг», которое позволяет следить за тем, чтобы заразившиеся коронавирусом оставались дома, уже успело собрать массу негативных отзывов. Оно, мол, и глюкавое, и вообще «цифровой ошейник». Однако именно технической информации о нем (и, в частности, о его последней версии) немного. Чтобы восполнить этот пробел, я предпринял собственное исследование.
Итак, последняя версия приложения — 1.4.1. Разработчик приложения — Департамент информационных технологий города Москвы. Существуют версии для Android и iOS. По данным из Google Play, на текущий момент приложение установлено более чем у 50 тысяч пользователей. Обещано, что если ваш телефон не поддерживает его, то в теории вам должен быть предоставлен аппарат с уже установленным приложением.
На практике, конечно, такое случается далеко не всегда и не сразу.
На сайте мэра Москвы заявлено, что «приложение при авторизации просит подтвердить номер телефона и сделать фотографию лица, а в дальнейшем фиксирует геолокацию и запрашивает фотографию посредством пуш-уведомления». С виду это действительно так, а если проигнорировать запрос на фото или выйти за пределы квартиры, будет автоматически выписан штраф. Если отказаться от установки, то принудительно поместят в обсерватор или больницу. Если удалить приложение после установки и регистрации, то будут присылать штрафы.
Конечно, ставить что-либо на свой телефон по чьему-то требованию мне не хотелось, но раз уж я был к этому принужден весьма незамысловатым способом, то надо хотя бы проверить, действительно ли приложение выполняет только заявленные функции, или там есть что-то еще.
Итак, поехали. Сразу скажу — я не гуру реверса, так что мог чего-то не заметить. Если обнаружишь что-то новое, обязательно поделись находкой в комментариях.
Смотрим трафик
Первым делом я решил проверить трафик с помощью приложения Fiddler, однако тут меня ждало разочарование. «Социальный мониторинг» устанавливает шифрованное соединение (HTTPS) с сервером mos.ru, а что там происходит дальше — так просто не понять, нужно или рутовать телефон, или пересобирать приложение. Но на рутованном аппарате приложение не работает, а пересобирать его я не рискнул, слишком высока цена ошибки — 4000 рублей за каждый пропущенный запрос на фотографию. А вдруг этот запрос придет как раз в тот момент, когда я буду с трафиком разбираться.
С помощью Fiddler и logcat удалось выяснить только то, что приложение раз в пять минут что-то отправляет на mos.ru. Что ж, придется декомпилировать и ковыряться в коде.
Декомпилируем приложение
Для декомпиляции я использовал программу JEB версии 3.17.1 производства PNF Software. На мой взгляд, это одно из лучших приложений для исследования APK, единственный его недостаток — высокая стоимость.
Приложение подписано сертификатом, сгенерированным 17 апреля 2020 года, и почему-то указан город Самара. Интересно, при чем тут Самара?
Первым делом смотрим, что в манифесте.
Версия программы — 1.4.1, имя пакета — ru.mos.socmon.
Приложение запрашивает следующие разрешения: доступ к координатам, в том числе и фоновый, доступ к камере, к интернету, состоянию сети, состоянию и изменению Wi-Fi, возможность запускать неубиваемые сервисы и добавление в список исключений оптимизации батареи (чтобы ОС не заставляла приложение экономить энергию), а также чтение и запись данных на карте памяти. Ну что же, уже неплохо — намеков на недекларированные функции пока не видно. Контакты, журнал звонков, SMS и прочее вроде не просят. Будем смотреть дальше.
Дальше видим, что приложение весьма обфусцировано. Конечно, это осложняет анализ, но попробуем.
Обычно при анализе всякой обфусцированной вирусни я поступаю так: сначала переименовываю все объявленные переменные в соответствии с их типом, то есть вместо a , b , c , d пишу intIn , intOut , int1 , str1 и так далее. Затем заново смотрю на код, уже становится видно, что некоторые переменные можно переименовать в counter , i , k , resString . Ну и третьим проходом после беглого анализа алгоритма переименовываю во всякие там name , password , hashMD5 и так далее.
То же самое и с классами. Сначала переименовываю созвучно тому, от чего класс наследуется, например activity1 или serviceHZ , а дальше уже, изучив содержимое, даю осмысленное имя. Да, это кропотливый труд, но я не знаю, как по-другому эффективно бороться с обфускацией. В данном случае объем кода не позволяет выполнить такие переименования за разумное время, да и нет в этом особой необходимости.
Прежде чем погружаться в дебри кода, окинем взглядом используемые приложением нативные библиотеки, а именно:
- libconscrypt_jni.so — гугловская библиотека Conscrypt, поставщик безопасности Java (JSP), который реализует расширения криптографии Java (JCE) и расширения безопасных сокетов Java (JSSE). Он использует BoringSSL для предоставления криптографических примитивов и безопасности транспортного уровня (TLS) для приложений Java на Android и OpenJDK;
- libface_detector_v2_jni.so — опенсорсная библиотека libfacedetection для распознавания лиц на фото;
- libtool_checker_jni.so — библиотека из состава опенсорсного пакета rootbeer, предназначенного для проверки наличия прав root на устройстве. Чуть подробнее расскажу о ней дальше.
Беглый анализ показал, что, помимо обфусцированного кода и почти стандартных OkHttp 3, Retrofit 2 и Crashlytics, приложение использует компоненты com.redmadrobot.inputmask.helper и com.scottyab.rootbeer.
Первый компонент особого интереса не представляет, он используется для проверки ввода телефонного номера при регистрации приложения. Rootbeer же как раз проверяет «рутованность» используемого устройства: ищет определенные приложения, бинарный файл su или компоненты BusyBox.
Все, дальше вроде тянуть уже некуда, надо смотреть код. Я не буду утомлять читателя скрупулезным и занудным описанием алгоритма, тем более что из-за обфускации кода пришлось бы часто использовать слова «вероятно», «похоже» и «судя по всему», и просто расскажу своими словами.
При запуске приложение достает из настроек адрес сервера для отправки данных, интервал для отправки координат и интервал для сбора и отправки телеметрии (отметим, что эти значения можно изменить по команде с сервера). Затем проверяет наличие необходимых для работы разрешений и, если нужно, запрашивает их, а также выводит запрос на добавление в «белый список» энергосбережения, чтобы ОС не мешала работать в фоновом режиме.
if(!((activity)this).j())
Также проверяется (с помощью акселерометра), держит ли пользователь устройство в руках.
В приложении есть три основных сервиса:
- LocationService — периодически собирает координаты;
- MessagingService — отслеживает сообщения с сервера, в сообщениях могут быть новые настройки или запрос на фото пользователя;
- PeriodicJobService — собирает и отправляет телеметрию.
Приложение периодически (в моем случае раз в пять минут, но это значение может быть изменено сервером) получает координаты и телеметрию, отправляет их на сервер, а также ждет запроса на фото. Если запрос на фото пришел, то выводится уведомление и подается звуковой сигнал. Кстати, когда пользователь делает фотографию, устройство автоматически ищет лицо в области предпросмотра (см. выше про libface_detector). Пока лицо не будет найдено, фотографию отправить не получится.
В интернете попадалась информация, что у пользователя есть один час с прихода уведомления, чтобы сделать фото. В коде я никаких подтверждений этому не нашел. Если отсчет времени ведется, то это, надо думать, происходит на сервере.
Посмотрим подробнее, какие именно данные приложение отправляет на сервер.
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Источник: xakep.ru