Načtete cizí QR kód a můžete do hospody. Aplikaci ke covidu lze jednoduše zneužít

Jednu z funkcí aplikace Tečka lze jednoduše používat i zneužívat. V nástroji pro prokazování bezinfekčnosti je totiž možné uchovávat potvrzení pro více lidí najednou, třeba členy domácnosti s pouze papírovým certifikátem. Problém ale je, že pro přidání další osoby do aplikace neprobíhá žádné dvoufázové ověření – stačí tedy s Tečkou místo čTečky naskenovat jakýkoliv platný cizí QR kód a je k dispozici pro další použití bez vědomí opravdového vlastníka.

Aplikace Tečka v současnosti umí uchovávat několik různých certifikátů ve formě QR kódů, kterými Češi mohou prokazovat svou bezinfekčnost. Především jde o informace o provedeném (a ukončeném) očkování proti covidu, prodělané nemoci a provedeném antigenním nebo PCR testu. Pokud dané certifikáty svítí zeleně, znamená to, že jsou platné a že daný uživatel je bezinfekční. V opačném případě svítí červená barva.

Pro ověřování platnosti používají hygienici a provozovatelé sesterskou aplikaci čTečka. Ta jim po naskenování QR kódu sdělí zelenou nebo červenou barvou, zda je certifikát opravdu v pořádku. Vyskočí jim také doprovodné informace, např. jméno a příjmení skenované osoby, datum narození, typ podané vakcíny i lhůta trvání platnosti certifikátu. Tyto údaje aplikace čTečka ukládat nemůže.

Určitým „problémem“ je překvapivě samotná Tečka. Jednou z jejích funkcí je možnost ukládat údaje vícero lidí do aplikace. Přidání nové osoby lze provést přes jednu ze tří variant – portál e-identita.cz, jednorázový SMS kód či právě naskenování cizího QR kódu (ať už z papírového certifikátu, nebo z Tečky na jiném mobilu). Poslední varianta je zřejmě nejjednodušší, ale také nejzneužitelnější, protože během ní neprobíhá žádná forma ověření či ochrany.

V praxi tak stačí, aby například organizátor nějaké větší akce skenoval přes zmíněnou funkci QR kódy aplikací Tečka místo čTečka – během chvilky bude mít ve svém mobilu pestrou zásobu cizích certifikátů a osobních údajů od nic netušících lidí. Uložené QR kódy jde pak dále zneužít.

To si ověřila i redakce CNN Prima NEWS. Po chvilce zkušebního skenování kódů, které lidé z vlastní neopatrnosti nahráli na sociální sítě, se v aplikaci nashromáždilo několik platných a použitelných certifikátů cizích osob. I včetně českého odboráře Josefa Středuly.

Částečným řešením by byla SMS s potvrzovacím kódem

Pro nemalou část provozovatelů a organizátorů se čTečkou stačí, když vidí zelený platný certifikát, a nepídí se, jestli opravdu patří konkrétním osobám (jestli např. odpovídá věk skenovaného). To riziko zneužití ještě zvyšuje.

Oslovení bezpečnostní experti věří, že by proto bylo na místě dvoufázové ověření. Pokaždé, kdy by se někdo pokusil přidat skenovanou osobu do své aplikace, by jí třeba přišla SMS s kódem pro potvrzení. Jinými slovy by se proces neobešel bez vědomého souhlasu daného člověka, aby byl jeho certifikát uložen do aplikace dalšího uživatele.

Zde ale nastává problém ve chvíli, kdy má tato konkrétní funkce Tečky posloužit k původnímu účelu – skenování papírových nebo digitálních certifikátů u osob, které aplikaci nevlastní, popř. nemají mobil. Může jít například o seniory či děti, dvoufázové ověřování by tak mohlo být o něco složitější. Jiní odborníci navíc tvrdí, že Tečka či čTečka obecně ukazují zbytečně příliš mnoho informací.

Aplikaci Tečka si ke včerejšímu večeru stáhlo 1,035m uživatelů, čTečku 366k uživatelů (Android + iOS). Denně aplikaci Tečka otevře alespoň jednou cca 250k, za poslední týden ji otevřelo alespoň jednou cca 840k. pic.twitter.com/FugIW32rIV

— NAKIT (@NAKIT_sp) July 12, 2021

„Jsem přesvědčen, že to šlo udělat dvouúrovňově. Pro běžné užití v hospodě stačí vědět, jestli certifikát platí nebo neplatí. Podrobnosti mohou být už provozovatelům (tzn. lidem se čTečkou) jedno. Ale chápu případy, kdy to chceme zkoumat více do detailu. Například u celníků, kteří kontrolují i jméno. Dvouúrovňově to ale udělat šlo,“ řekl redakci pirátský poslanec a IT expert Ondřej Profant.

I proto Národní agentura pro komunikační a informační technologie (NAKIT) již dříve upozornila, že aplikace neslouží k ověřování totožnosti, ale ke kontrole platnosti certifikátů. V reakci na dotaz CNN Prima NEWS dodává, že by lidé měli být proto obezřetní, komu ukazují QR kód.

„Funkce přímého naskenování QR kódu je určena pro usnadnění přidávání dalších certifikátů do aplikace, například dětí nebo spolucestujících. Technické i bezpečnostní parametry aplikací vychází ze standardů DGC EU. Obě aplikace jsou bezpečné, nicméně pokusům o zneužití jakéhokoliv nástroje, s cílem odcizit osobní údaje, nelze zcela zabránit. Proto je třeba, i k ochraně svých osobních údajů v aplikaci Tečka, přistupovat se zvýšenou obezřetností,“ doplnil pro redakci mluvčí NAKIT Lukáš Trnka.