Aplikace účtenkovka. 'Vývojáři jen správně neudělali to, co měli,' myslí si odborník na kyberbezpečnost

Po startu účtenkovky se ukázalo, že loterijní aplikace má řadu problémů. Přestože je určená pro osoby starší 18 let, v systému iOS je uvedené, že je pro osoby od 17 let, ve Windows byla označena jako bez omezení věku. Aplikace také v Google Play požaduje přístup k informacím o volání. Podle odborníka na kyberbezpečnost Michala Špačka jde ale pouze o chybu vývojářů, řekl serveru iROZHLAS.cz.

Rozhovor Praha Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Aplikace Účtenkovka je dostupná i v AppStore společnosti Apple. | Foto: Cobe | Zdroj: Fotobanka Smartmockups.com

V neděli začala loterie účtenkovka, jejíž součástí je i aplikace, která měla od začátku problémy. Jedním z nich bylo, že aplikace při instalaci vyžaduje v Google Play přístup k informacím, jestli voláte a dokonce i s jakým telefonním číslem. Stávají se běžně takové chyby?
Bohužel se stávají. Nevím, jestli úplně běžně. Nemám zmapováno, jak moc často, ale stávají se. Zvlášť u prvních verzí aplikací se občas stane, že požadují víc, než by měly.

První hodiny účtenkovky. Aplikace vyžadovala informace o vašich hovorech, může si ji stáhnout i dítě

Číst článek

Nemají v takovém případě problém s ochranou osobních údajů, když, jak vy říkáte, požadují zbytečně informace navíc?
Myslím si, že u velké části aplikací, a účtenkovka je toho pěkným příkladem, je to spíš omylem, než že by aplikace takovou věc požadovala. Vývojáři odněkud zkopírují nějakou šablonu oprávnění a použijí ji, protože si třeba neuvědomí, že takové věci ve skutečnosti nepotřebují, nebo nad tím nepřemýšlí. Vezmou nějakou šablonu odněkud, řeknou: „Jo, takhle se to dělá.“ Použijí to a najednou aplikace vyžaduje víc oprávnění, než ve skutečnosti potřebuje. Ani si nemyslím, že by aplikace samotná takové věci četla nebo shromažďovala údaje o uskutečněných voláních, ale spíš někde chybou vývojáře, který pořádně nevěděl, co dělá, aplikace tato práva požaduje. Což neznamená, že data číst musí, jenom si o ně dopředu může požádat.

Takže si nemyslíte, že to byl záměr.
Ne, nemyslím si. Dokonce existuje taková hezká… Říká se tomu Hanlonova břitva, která říká, že nemáme hledat zlý úmysl tam, kde je dostatečným vysvětlením hloupost. A to si myslím, že na to úplně přesně platí. Nemyslím si, že by aplikace chtěla tato data číst a chtěla je někam posílat. Jenom si myslím, že vývojáři správně neudělali to, co měli.

Co si o té aplikaci myslíte? Setkal jste se s ní?
Viděl jsem ji. Spoustu věcí, které aplikace dělá, teď odhlédněme od smyslu samotné loterie a podobně, požaduje aplikace zbytečně. Třeba požaduje datum a částku, které mají uživatelé zadat ručně. Přitom by to dokázali vývojáři určitě dohledat pomocí jednoznačných kódů FIK a BKP, které se tam také zadávají. Takže její přívětivost a použitelnost není úplně taková, jaká by měla být.

Účtenkovka začala, ve hře je milion nebo auto. 'Nejde o hazard,' brání se ministerstvo kritice

Číst článek

Vrátím se k těm kódům. Na sítích se objevila informace, že je možné do systému zadat kódy úplně náhodné, které nevygeneroval obchodník, a aplikace je stejně přijme. Nedá se tomu nějakým způsobem předejít? Nebo jak dochází k ověřování?
Kdyby si někdo zaregistroval kód, který nikdy nevznikl, tak nemůže vyhrát. Loterie slouží na ověřování věcí, které již existují. Finanční správa má data od obchodníků nebo prodejců a lidé tam zadávají stejné věci. Takže nevím, jestli by takhle mohlo dojít k nějakému problému nebo že by někdo vyhrál něco, co neměl. To si myslím, že spíš asi ne.

Při registraci je možné zadat zcela fiktivní údaje včetně falešných mailů, kterých si každý člověk může založit neomezeně. Není to také bezpečnostní problém pro aplikaci a celou loterii?
Nemyslím si, protože pro vyzvednutí výhry jsou potřeba i další údaje jako číslo nějakého průkazu a tak dál. Takže v tom bych neviděl nějaký problém. Dost těžko se tomu brání, aby si uživatelé nemohli založit neomezený počet emailů. Tomu se v podstatě nedá rozumně bránit bez nějaké centrální evidence uživatelů, k čemuž doufám snad nikdy nedojde. Dost těžko by se takové věci daly nějakým rozumným způsobem řešit, takže se běžně neřeší. Ale tím, že na druhé straně jsou data od prodejců nebo obchodníků, které nemohou rozumně a jednoduše zfalšovat, tak se to vždycky dá nějak ověřit.

Účtenkovka se bude poprvé losovat 15. listopadu | Foto: Reprofoto uctenkovka.cz

Účtenkovka je určená pro osoby od 18 let. Aplikaci si ale mohou stáhnout i osoby mladší. Pro iOS je tam omezení od 17 let, a aplikace pro zařízení s Windows je dokonce nálepkou PEGI 3 – obsah aplikace je tedy „považován za vhodný pro všechny věkové skupiny“. Je možné zamezit uživatelům mladším 18 let, aby si aplikaci stáhli?
Velmi těžko. To je jako, když máte v televizi večer film pro dospělé, tak taky dost těžko zamezíte, aby na to koukali mladší. Bez nějaké centrální evidence uživatelů internetu, a znovu opakuji, doufám, že k tomu nedojde, dost těžko. Tady je to pak na straně rodičů, kteří by si sami měli takové věci hlídat.

Účtenkovka v úterý večer

Do účtenkové loterie k elektronické evidenci tržeb se zatím registrovalo 70 tisíc hráčů. Informovalo o tom ministerstvo financí. Úřad v pondělí taky aktualizoval mobilní aplikaci. Ta už tak po uživatelích nevyžaduje přístup k informacím o telefonních hovorech.

Co se ale stane v případě, že vyhraje osoba mladší 18 let? To bude muset ministerstvo nějak řešit. Nebude mu moc třeba předat výhru.
Určitě. Předpokládám, že mu výhru nedodají, protože porušil podmínky soutěže. Tam bych úplně problém neviděl. V podstatě jako v jakékoliv jiné soutěži, kdyby se zaregistroval někdo třeba kolem 16 let a vyhrál nějaké auto, tak tu výhru taky nedostane, protože nesplnil podmínky soutěže, které stanoví, že účastník musí být starší 18 let. V tom bych asi úplně problém neviděl.

Petr Jadrný, Lukáš Řezník Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Nejčtenější

Nejnovější články

Aktuální témata

Doporučujeme