Aktualizace upravila barvy certifikátů, nyní se ukazují ve třech barvách. Při skenování se ale nově zobrazuje výhradně modrá. Zdroj: Viet Tran
Mobilní aplikace Tečka, kterou se prokazuje provedený test nebo ukončené očkování, prošla několika změnami. Aktualizace upravila barvy certifikátů, nyní se ukazují ve třech barvách, při skenování se ale nově zobrazuje výhradně modrá. Už tak není možné změnou data v mobilu přeměnit neplatný certifikát na platný. NAKIT, který za aplikací stojí, přitom dříve odmítal, že by chtěl díru v prokazování opravovat.
Původně v Česku platilo, že se za bezinfekční osobu považoval ten, kdo je očkovaný první dávkou, přičemž certifikát zezelenal už po 22 dnech od vakcinace. Poté ale přišla náhlá změna, kdy ministerstvo zdravotnictví kvůli obavám z delta varianty koronaviru zavedlo stav bezinfekčnosti až po 14 dnech od druhé dávky vakcíny.
Načtete cizí QR kód a můžete do hospody. Aplikaci ke covidu lze jednoduše zneužít
Jednu z funkcí aplikace Tečka lze jednoduše používat i zneužívat. V nástroji pro prokazování bezinfekčnosti je totiž možné uchovávat potvrzení pro více lidí najednou, třeba členy domácnosti s pouze papírovým certifikátem. Problém ale je, že pro přidání další osoby do aplikace neprobíhá žádné dvoufázové ověření – stačí tedy s Tečkou místo čTečky naskenovat jakýkoliv platný cizí QR kód a je k dispozici pro další použití bez vědomí opravdového vlastníka.
Tisíce certifikátů tak ze dne na den zčervenaly, což Čechům v zahraničí způsobilo velké zmatky třeba během kontrol na hranicích nebo v podnicích. V mnoha evropských zemích se totiž nadále uznávala bezinfekčnost už tři týdny po prvním kole očkování, aplikace Tečka ale kontrolorům hlásila neplatný certifikát na základě upravených pravidel ČR.
NAKIT proto vydal aktualizaci, která všechny skenované QR kódy přebarvuje na neutrální modrou, čímž by měla zažehnat zmatky při prokazování bezinfekčnosti v zahraničí. Teď bude přímo na kontrolorech, aby si po naskenování nastudovali detaily certifikátu a vyhodnotili platnost dle místních opatření.
Do jisté míry ale změna sráží původní rychlost odbavování – v praxi lidé musí zkoumat podrobnosti ke QR kódu, protože z barvy už nepoznají, zda tedy vůbec platí. V detailu certifikátu je například jméno osoby, datum narození či použitá vakcína a datum provedení očkování.
Aktualizace přišla poměrně nečekaně. Dříve bylo možné změnit datum v mobilním telefonu tak, aby díky tomu zezelenal certifikát, byť jen na oko. Třebaže by neplatný QR kód odhalila doprovodná aplikace čTečka, na mnohých akcích lidé kontrolovali certifikáty jen letmým pohledem na barvu v mobilu. NAKIT tehdy odmítl, že by plánoval jakékoliv úpravy na konto této díry ve funkci.
„Víme o tom, ale žádné systémové řešení neplánujeme. O důvod víc využívat čtecí aplikaci čTečka a nekontrolovat certifikáty pouze pohledem. Jen čtecí aplikace ukáže, jestli je QR kód platný a zda je jeho nositel bezinfekční, či nikoliv,“ řekl CNN Prima NEWS mluvčí NAKIT Lukáš Trnka.
Staré neduhy zůstávají
Některé funkce aplikace zůstaly nezměněny. Do Tečky je nadále možné nahrát certifikáty dalších lidí jednoduchým naskenováním QR kódu, čehož se ale stále dá jednoduše zneužít. V praxi totiž stačí, aby například organizátor nějaké větší akce skenoval přes zmíněnou funkci QR kódy aplikací Tečka místo čTečka – během chvilky by nasbíral pestrou zásobu cizích certifikátů a osobních údajů od nic netušících lidí.
Třebaže aktualizace nyní podbarvila osoby, které byly do Tečky přidány dodatečně, stále je možné používat jejich certifikáty. Stejně tak se nezměnil postup pro přidání dalších QR kódů do mobilu – nadále chybí jakákoliv forma dvoufázověho ověření.
