Stát ve spolupráci s mobilními operátory spustil masivní reklamní kampaň na instalaci aplikace eRouška. Pokud ne na všechna telefonní čísla, tak na jejich většinu došla textová zpráva, podepsaná hlavní hygieničkou ČR, která k instalaci aplikace vyzývá.

SMS vyzývající k instalaci eRoušky představují možný bezpečnostní problém
SMS vyzývající k instalaci eRoušky představují možný bezpečnostní problém.
Foto: Michal Altair Valášek

Vodafone a T-Mobile poslaly jednotnou zprávu s odkazem na www.erouska.cz. Operátor O2 k tomu ovšem přistoupil jinak. 

Upozornění redakce: Text bezpečnostního analytika nekritizuje eRoušku jako takovou, ta není sama o sobě rizikem. Kritika míří na způsob komunikace, zejména ze strany O2 CZ.

Nedávno jste již předplatné aktivoval

Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.

Pokračovat na článek

Tento článek pro vás někdo odemknul

Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na týden zdarma předplatitelem HN+ i vy!

Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.

Zdá se, že už se známe

Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.

Děkujeme, teď už si užijte váš článek zdarma

Na váš e-mail jsme odeslali bližší informace o vašem předplatném.

Od tohoto okamžiku můžete číst neomezeně HN+ na týden zdarma. Začít můžete s článkem, který pro vás někdo odemknul.

Na váš e-mail jsme odeslali informace k registraci.

V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN+ na týden zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.

Pokračovat na článek

Zpráva zasílaná O2 má jiného odesílatele, jinou formulaci a především místo odkazu na web eRoušky obsahuje odkaz na adresu http://info.o2.cz/, za kterou následuje desetimístný kód. V prvních pěti alfanumerických znacích je jednoduchým způsobem zakódováno telefonní číslo příjemce, význam pěti posledních číslic mi není znám. Napsal jsem nástroj, kterým lze hodnotu v odkazu dekódovat, je k dispozici na této adrese.

SMS vyzývající k instalaci eRoušky představují možný bezpečnostní problém
SMS vyzývající k instalaci eRoušky představují možný bezpečnostní problém, u O2 je problém i se soukromím.
Foto: Michal Altair Valášek

Z hlediska kybernetické bezpečnosti jsou obě formulace zprávy špatně. Rozhodně není vhodné učit uživatele, aby reagovali instalací aplikace na zprávy zaslané z neověřených a neověřitelných zdrojů. Odesílatele textové zprávy lze - stejně jako odesílatele například e-mailu - zfalšovat, zejména pokud se jedná o textový řetězec typu "www.mzcr.cz" (Vodafone a T-Mobile) nebo SdeleniMZCR (O2).

Nemyslím si, že v tomto případě bylo vhodné přistoupit k masovému spamování obyvatelstva pomocí SMS, ale když už, mělo být jako odesílatel nastaveno funkční telefonní číslo, na které je možné zavolat a reagovat na obsah zprávy. Nabízí se třeba vládní koronavirová infolinka 1221.

Další problém spočívá v odkazu, na který má uživatel klepnout a získat informace o stažení aplikace. Mírně lepší je odkaz na www.erouska.cz, protože to je srozumitelná oficiální adresa, kterou uživatel může opsat a třeba si z jiných zdrojů ověřit, že je platná.

Rizikovost spočívá v tom, že adresa není úplná, mělo by tam být napsáno https://erouska.cz, včetně prvotního určení zabezpečeného protokolu HTTPS. Kvůli tomu, jak je adresa napsána, je uživatel vystaven řadě potenciálních útoků, které HTTPS řeší. Sám web eRoušky je přitom nastaven správně, HTTPS podporuje a v jeho konfiguraci nejsou žádné problémy. Nicméně odkaz je nesprávný.

Odkaz na Info.o2.cz je z hlediska kybernetické bezpečnosti asi to nejhorší, co bylo možné udělat. V první řadě tento server vůbec není dostupný pomocí HTTPS, takže je na něj možné dělat spoustu zábavných man in the middle útoků (útočník v nich přesměruje nic netušícího uživatele na jiné, podvodné nebo škodlivé, stránky, než na jaké se chtěl dostat).

Další problém spočívá v tom, že odkaz je na první pohled zcela nesrozumitelný, a tudíž snadno podvrhnutelný. Učit uživatele, že mají klikat na náhodné adresy různých zkracovačů a trackerů a instalovat aplikace podle instrukcí, které tam najdou, je stejně zodpovědné jako vykládat malým dětem, že v elektrické zásuvce žije malý skřítek, který papá hřebíky.

Třetí problém spočívá ve sledování uživatelů. Unikátní kód za lomítkem obsahuje v prvních pěti znacích jednoduše zakódované telefonní číslo uživatele plus nějakou další informaci ve zbylých znacích, zatím neznámou. To umožňuje sledovat, který z uživatelů na odkaz klikl a který ne.

Sledování úspěšnosti odkazů je běžná marketingová technika. Umožňuje měřit, jaké reklamní kampaně mají větší a jaké menší úspěch. Problém spočívá v tom, že zakrývají skutečný cíl odkazu, a představují tedy bezpečnostní riziko. U kampaně tohoto typu by marketingová hlediska neměla převážit nad bezpečností. Lze uvažovat třeba o tom, že by odkaz vedl na nějakou srozumitelnou adresu v rámci domény eRouška.cz, např. na (nyní neexistující) adresu v duchu "https://sms.erouska.cz", což by byla stránka určená příjemcům textové zprávy s vysvětlením, o co jde. Tím by bylo možné (přibližně) sledovat úspěšnost kampaně, aniž by byla narušena důvěryhodnost.

Větší problém spočívá v tom, že je odkaz personalizovaný a že obsahuje telefonní číslo. Umožňuje tak sledovat nejenom celkové statistiky, ale konkrétně vysledovat telefonní číslo, jehož uživatel odkaz navštívil. Není přitom jasné, k jakým účelům O2 tuto informaci využívá a hlavně proč to dělá takhle očividně hloupým způsobem. Samo navštívení tohoto odkazu v podstatě nic neznamená. Neznamená, že si uživatel aplikaci nainstaloval (odkaz vede na informační stránku) ani že aplikaci nepoužívá (možná si ji nainstaloval už předtím nebo přímo z app storu a tato zpráva je pro něj irelevantní).

Operátor dokáže poměrně snadno detekovat, kteří z jeho uživatelů eRoušku používají. Sice nevím, k jakým legitimním účelům by mu tato informace měla být užitečná, ale může ji získat velice snadno, protože ví, s jakými endpointy (servery) mobilní telefony jeho klientů komunikují. Pokud je komunikace vedena protokolem HTTPS (v což v případě eRoušky doufám), nedokáže zjistit její obsah, ale dokáže zjistit, že k ní došlo.

Pokud O2 návštěvu těchto odkazů sleduje - což lze dost dobře předpokládat - výsledkem bude seznam telefonních čísel uživatelů, kteří klepli na odkaz ze zprávy zaslané jim z nedůvěryhodného zdroje. Dovedu si, pravda, představit celou řadu využití takového seznamu, ale žádná z nich příliš nekoreluje s mou představou toho, co by měl dělat důvěryhodný telekomunikační operátor.

Aktualizace: O2 CZ zaslalo vyjádření, podle kterého jde o nástroj měření efektivity kampaně. Na výhrady v původním textu firma nezareagovala: Odkaz v SMS zprávě, jejímž zadavatelem bylo ministerstvo zdravotnictví, slouží k měření celkového počtu prokliků na webovou stránku erouska.cz. Podoba SMS byla se zadavatelem diskutována a o chystaném zasílání SMS výzvy informovala v tiskovém prohlášení v předstihu i Asociace provozovatelů mobilních sítí (APMS).

 

Při uvedení eRoušky 2.0 jsem napsal, že jde o placebo, které ale pravděpodobně neškodí, na rozdíl od řady jiných státních opatření. Stát nezklamal a dokázal vyrobit nebezpečí a ohrožení i tam, kde předtím nebylo. Nevím, zda je formulace zprávy dílem operátorů, nebo hlavní hygieničky, která je pod ní podepsaná. Nicméně stát, potažmo paní Rážová, si měli zkontrolovat, co se jejich jménem rozesílá.

Vláda koronavirovou krizi nezvládá dobře. Alespoň si to podle říjnového průzkumu společnosti Behavio myslí 55 procent dotázaných. Přičemž často zaznívá i z úst odborníků názor, že i v případě opatření smysluplných nezvládá komunikaci. Masový spam s potenciálně nebezpečnou textovou zprávou je další z nekonečné řady podobných nesmyslných kroků.

Aplikace eRouška se přirozeně a logicky potýká s nedůvěrou uživatelů. Ačkoliv si osobně myslím, že je vytvářena s dobrým úmyslem a že minimálně její současná podoba uživateli pravděpodobně nijak neškodí, komunikace to nepodporuje. Sice jsou zveřejněné zdrojové kódy, ale nelze si ověřit, že odpovídají tomu, co si uživatel skutečně nainstaluje.

Vztah eRoušky se sbírkou zranitelností v Bluetooth na starších telefonech (kde je obecně obtížně použitelná) také není dobře komunikován. Státu se tak obloukem vrací obvyklá argumentace ve stylu "kdo nemá co skrývat, nemá se čeho bát". Přidejte k tomu bezpečnostní riziko nešikovně napsaných SMS zpráv a opravdu hloupý pokus o cílené sledování uživatelů u O2, a i kdyby byly úmysly sebekřišťálovější, důvěru to nevzbuzuje.

Celkový dojem je v lepším případě obvyklá neschopnost a neumětelství, v horším zlý úmysl. Ukazuje se, že i v krizové situaci a s podporou českých technologických firem platí nesmrtelná věta někdejšího ruského premiéra Viktora Černomyrdina: "Měli jsme ty nejlepší úmysly, ale dopadlo to jako vždy."