הפיאסקו של אפליקצית רמזור – דרכון ירוק לקורונה

אפליקציית רמזור קורונה - הפיאסקו ממשיך להתגלגל

12:28
  /  
20.02.2021
  

אפליקציית הרמזור שאמורה לשמש למי שמחוסן כאמצעי הזיהוי לכניסה כבר החל ממחר לכל המקומות הפתוחים למחוסנים או מבריאים הובטחה לנו כבר מזמן. באתר הרמזור הלינק מפנה לגרסאת הבטא TestFlight במקום לחנות האפליקציות.

מי שבאפל משתמש בחשבון אמריקאי חייב לפתוח חשבון ישראלי בלבד, שכן האפליקציה אינה זמינה ללקוחות אפל שמשתמשים בחנות האמריקאית (אצלנו בבית זה 50% מהמשתמשים!). לאחר המעבר, קשה להבין שמדובר באפליקציה הזו, שכן בחנות אין תיאור לאפליקציה והיא נקראית בשם הסתמי "רמזור".רמזורהיציבות של האפליקציה קריטית – אם היא תתרסק לכם כשתנסו להכנס אליה, ככל הנראה תשארו מחוץ לאולם האירועים או למסעדה. מבחינה זו, האפליקציה במצב גרוע במיוחד, היא מתרסקת כל הזמן. פעמים רבות לא הצלחנו לעבור את שלב הכנסת מספר הטלפון ולרוב האפליקציה פשוט התעופפה. ככל הנראה העומס על השרתים גורם לכך שהאפליקציה תקבל תגובות לא תקניות שגורמות לה להתעופף. מבין 5 מכשירים שניסינו, אף אחד מאיתנו לא הצליח לעבור את השגיאות השונות שהתקבלו במערכת במהלך הרישום.

כמו כן, האפליקציה דורשת הרשאות לעקוב אחריכם בכל מקום בכדי לתת לכם עדכון שאתם נכנסים לעיר אדומה או כתומה.

אבל הפיאקסו לא מסתיים שם. מדובר ב-QR code סטנדררטי וללא כל בקרת אבטחה. מי שסורק את הקוד QR שלו, ומפענח אותו בעזרת פעולת פיענוח פשוטה שכל מפתח תוכנה מתחיל מכיר (בכוונה אני לא מציין את השיטה אך היא מהפשוטות בעולם התוכנה) ויכול לראות מיד את כל נתוניו, כולל תעודת זהות, תאריך החיסון שלו ותאריך פקיעת התעודה הירוקה. אין למערכת הצפנה או קוד ביטחון כלשהו. בנסיון שעשיתי לטובת המאמר הזה התוצאה הניבה קוד תקני שאפליקציה במכשיר אחר סרק וקיבל אם כי היתה שגיאה כלשהי.

יש להניח שבשלב שבו תופעל הבדיקה, אפליקציית רמזור שתופעל על ידי בעל העסק תוכל לבדוק את הקוד ואז לאמת את הנתונים מול השרת. אם יש אי תאימות בתאריך פקיעת התוקף או זהות האדם, האפליקציה יכולה להציג שגיאה שתאפשר לבעל העסק שלא להכניס את הלקוח לעסק.

עם זאת, אם מישהו מחזיק דרכון ירוק של אדם אחר, אין דרך לאפליקציה ולבעל העסק לבדוק זאת. אם יוסיפו לאפליקציה יכולת למשוך את תמונת בעל תעודת הזהות ולהציגה בעת סריקת ה-QR, יתכן שזה יפתור את הבעיה אך יתכן שהדבר לא יאופשר בשל נושא אבטחת מידע (בשילוב עם רמת האבטחה הנמוכה של האפליקציה, זה עלול להוביל לכך שאם יש לכם מספר זהות של אדם מסויים תוכלו למשוך את התמונה שלו ממשרד הפנים).

אז הפעולה הכי חשובה של האפליקציה – לזהות אתכם כבעלי דרכון ירוק (כלומר, עבר לפחות שבוע מהחיסון השני שלכם), איננה עובדת. מה עוד אמורה האפליקציה לעשות?

היתרון של האפליקציה אמורה להיות בכך שהיא לא רק מראה לכם את מצב הרמזור של המיקום הנוכחי שלכם ומתריאה על כניסה לאיזור אדום או כתום, ומאפשרת לכם להבין איך העיר הנוכחית שאתם נמצאים בה במגמת שיפור או לא.

כאמור, לשם כך עליכם לתת לאפליקציה הרשאה מלאה לעקוב אחריכם. בכך האפליקציה מחליפה את אפליקציית המגן שבזמנו זיהתה את מיקום חולי קורונה מאומתים ואת מי שבא איתם במגע פוטנציאלי. בניגוד לאפליקציית המגן, שאומתה בבעלת אבטחה גבוהה ביותר, כאן אין עדיין אימות שכזה.

האפליקציה גם אמורה להיות המפתח שלכם לכניסה לאירועים הפתוחים אך ורק לבעלי הדרכון הירוק. ככל הנראה שפעילויות ומקומות שפתוחים רק לבעלי הדרכון הירוק יוכלו לפרסם את הפעילויות שלהם שם.

בשורה התחתונה – תמתינו עם הורדת האפליקציה, ורצוי שמשרד הבריאות ילך על ספקי תוכנה בעלי יותר נסיון גם בפיתוח אפליקציות עם רמת אבטחה גבוהים ופיתוח אפליקציות שעומדות בעומסים משמעותיים יותר.

לשרשור תגובות לחץ כאן


12:28
  /  
20.2.2021
  

1