Как установить приложение социальный мониторинг на андроид

Как установить приложение социальный мониторинг на андроид

Как установить приложение социальный мониторинг на андроид

Completing the CAPTCHA proves you are a human and gives you temporary access to the web property.

What can I do to prevent this in the future?

If you are on a personal connection, like at home, you can run an anti-virus scan on your device to make sure it is not infected with malware.

If you are at an office or shared network, you can ask the network administrator to run a scan across the network looking for misconfigured or infected devices.

Another way to prevent getting this page in the future is to use Privacy Pass. You may need to download version 2.0 now from the Chrome Web Store.

Cloudflare Ray ID: 665daaa8accd24c5 • Your IP : 88.135.219.175 • Performance & security by Cloudflare

Как установить приложение социальный мониторинг на андроид

Социальный мониторинг
версия: 1.11

Последнее обновление программы в шапке: 02.03.2021

Прикрепленное изображение

Прикрепленное изображение

Прикрепленное изображение

Краткое описание:
Приложение для социального мониторинга граждан и вызова помощи в экстренной ситуации.

Описание:
Настоящее приложение предназначено для использования гражданами, подписавшими согласие на получение медицинской помощи в амбулаторных условиях (на дому) и соблюдение условий режима самоизоляции (изоляции) по назначению медицинских организаций государственной системы здравоохранения города Москвы или в соответствии с постановлениями санитарных врачей в связи с новой коронавирусной инфекцией.
Не работает на устройствах с root доступом.
К каким данным требует доступ «Социальный мониторинг»:

  • Доступ к фото и видеосъёмке;
  • Доступ к точному и примерному местоположению;
  • Разрешение на совершение звонков;
  • Получение данных о статусе телефона;
  • Датчики о состоянии организма (например пульсометр);
  • Просмотр, а также изменение или удаление данных на накопителе;
  • Доступ к запуску активных сервисов;
  • Доступ к настройкам Bluetooth;
  • Управление вибросигналом;
  • Запуск приложения при включении смартфона;
  • Данные о подключении к Wi-Fi, а также управление включением датчика;
  • Неограниченный доступ к сети и к получению данных;
  • Просмотр сетевых подключений;
  • Неограниченный расход батареи;
  • Отключение спящего режима;
  • Play Install Referrer API (отслеживание популярности приложения разработчиками;
  • Установление соединения с Bluetooth-устройствами.

Требуется Android: 6.0 и выше
Русский интерфейс: Да

Сообщение отредактировал Slav_nsk — 02.03.21, 18:45

Подробнее можно, кто мониторит и за кем?
Что даёт эта программа пользователю?
Разрешения пугают.
Возможно скоро всех обяжут иметь эту программу.

Прикрепленное изображение

Сообщение отредактировал dar721 — 31.03.20, 23:32

dar721,
Обновил описание. Файлы презентации. Приложение еще сырое, будет дорабатываться.

• Наличие краткого описания одной строкой, на русском языке, одним предложением чётко и лаконично описывающего назначение программы
• Наличие описания на русском или английском языке
• Наличие полноразмерных скриншотов

Требуется учесть замечания и завершить оформление темы.

Приложение для слежки за пользователями , хватает низкой оценки с Гугл плея.

IT-специалист Владислав Здольников отметил, что данные в приложении отправляются по протоколу http, то есть не зашифрованном виде.

Прикрепленное изображение

Сообщение отредактировал freez007 — 01.04.20, 01:57

HighwayStar,
Выше ответ.
Удалили из GP.

Добавлено 01.04.2020, 09:38:

Нечто,
Выше на пару постов ответ.

Даёшь всем по флагману

Вот куда бабки ушли, кривое приложение стоило копейки :pioneer_smoke:

Прикрепленное изображение

Сообщение отредактировал freez007 — 01.04.20, 10:38

Мэрия Москвы выкатила говнокод для контроля перемещений граждан, который они назвали «Социальный мониторинг».

— Приложение получает доступ ко всей информации на телефоне: геолокацию, сенсоры, камеру, блютуз, возможность звонить, просмотр любых данных, доступ к любым настройкам, ещё несколько неизвестных.

— Приложение передаёт собранную информацию на серверы мэрии в открытом виде, по http, без какого-либо шифрования. Это провал.

— Для распознавания лиц, приложение использует эстонский сервис identix.one — то есть, передаёт фотографии в эстонскую юрисдикцию и на серверы, расположенные в Германии. Обе страны входят в НАТО.

— Пытается хаком, без прав, получить MAC-адрес интерфейса.

— В QR-кодах зашифрованы MAC и IMEI (индивидуальные идентификаторы) устройства.

— На приложение было потрачено 180 млн рублей. Судя по его качеству, украдено было 99% бюджета.

— Разработкой приложения занимается компания «Гаскар», подрядчик «Инфогорода».

Это полнейший провал и позорище. ДИТ Москвы должен быть разогнан палками за такое.

Приложение «Социальный мониторинг»: анализ траффика

Началось все с прилета в Москву. Как и положено, я сдал необходимый ПЦР тест на ковид, дождался отрицательного результата, залил его на Госуслуги и… решил, что на этом мои московские приключения закончились. Но все оказалось не так просто. Ко мне внезапно пришел врач. И вручил постановление, что 2 недели я обязан сидеть дома в карантине, так как в самолете со мной летел один зараженный. Про приложение «Социальный мониторинг» я много слышал и даже читал статью на Хабре, где люди покопались в его бета-версии. Ну а какой же исследователь не соблазнится покопаться в таком интересном приложении?

Скажу сразу, моей целью не было обмануть систему или сбежать из карантина. Свои 2 недели я честно просидел дома. Ну хорошо, пару раз выходил в ближайший магазин за пивом. Целью было посмотреть, что о нас знает эта система и насколько правдивы некоторые высказывания ее авторов. Сначала я занялся сбором предварительной информации. Выяснил примерно следующее:

  1. Приложение написано на основе программы трекера мусоровозов. Чему я не нашел вменяемых подтверждений, да и копание во внутренностях программы тоже ничего подобного не подтвердило.
  2. Бета версия была никак не защищена, ее декомпилировали и выложили на github. Впрочем, с гитхаба ее убрали по требованию правообладателя.
  3. Бета версия передавала фотки на сервер в Эстонии для использования сервиса распознавания лиц.
  4. Дальше я прочитал высказывание главы ДИТ Эдуарда Лысенко, который сказал следующее: «Руководитель ДИТ Москвы категорически опроверг информацию, что приложение передаёт фотографии на сторонний сервер: «На самом деле, ничего никуда не передаётся, — заявил он. — Во-первых, не передаются никакие фотографии в принципе. Во-вторых, тот код биометрический, который появляется, он попадает исключительно на сервера ДИТа.» Здесь мне уже стало интересно, как это фотки не передаются в принципе. Неужели они преобразуются в биометрический код прямо на смартфоне?
  5. Новая версия программы сильно обфусцирована и теперь практически невозможно ее анализировать.
  1. На самом деле передается не одна фотка, а серия фоток. Это сделано для того, чтобы было невозможно сфоткать свою бумажную фотку. Или даже видео передается.
  2. Если приложение перестало запрашивать фотки, карантин закончился.

Ставлю на Макбук mitmproxy, очень удобный анализатор траффика с минимумом настроек. Скачиваю их корневой сертификат, добавляю на айфон профиль – и вот оно! Весь траффик программы мы видим, как на ладони.

Регистрация приложения

Установить и зарегистрировать приложение нужно в течение суток от начала карантина. По этому поводу приходит SMS-ка. Раньше это делать бессмысленно, просто телефон не найдется в базе. Вот так выглядит запрос на регистрацию:

В ответ мы всегда получаем “200 OK” и ничего более. Если телефон есть в базе, придет SMS-ка с кодом, который нужно ввести в приложение. Если телефона в базе нет, просто ничего не придет. В deviceId передается UDID айфона. К этому идентификатору все привязано. Если сломается айфон и мы поднимем новый из бекапа, приложение работать не будет. И будет штраф, с которым непонятно, как разбираться. Здесь и далее приватные данные будут полностью или частично заменяться на “XXYYZZ”.

Передача координат

Дальше я набрался смелости и подключил через mitmproxy «живой» телефон. Каждые минут 5-10, а также при запуске приложения, делается вот такой запрос:

Здесь мы опять же видим deviceId, он другой, первый запрос я делал с айпада.

accuracy – точность определения координат, не знаю, в каких единицах
battery_level – уровень заряда батарейки. Интересно, зачем он ДИТ-у?
charge – стоит ли телефон на зарядке. Тоже непонятно, зачем передается.
datetime – текущая дата и время. Возможно используется, чтобы нельзя было «подкрутить» время на устройстве.
device_model – модель телефона. Ну мне не жалко, если об этом узнает ДИТ.
indoorNavigation – довольно интересно. Здесь список известных wifi сетей, по которым можно определить координату. Но при этом не передается BSSID, что делает эту информацию абсолютно бесполезной. По имени сети координаты не определить.
install_datetime – может использоваться для защиты от эмуляции этих запросов. Хотя эту информацию можно при желании получить и довольно несложно.
lat, lon – собственно, координаты
location_status – включен ли GPS и разрешено ли программе пользоваться им в фоне. А если нет, будет штраф.
os_version – версия iOS
version_ext – не разбирался, возможно, версия самого приложения

Передача селфи

Начинается самое интересное. Сниффим траффик в момент передачи сделанного селфи. Итак, где же наши биометрические хеши и видео? А вот что происходит на самом деле:

Ну все понятно, да? Эта часть защищена чуть сильнее, в запросе еще фигурирует Bearer токен, по которому организована авторизация. Момент получения токена я не отсниффил, возможно, токен приходит при запросе на селфи. Уходит ровно одна фотка. Где же ваш биометрический хеш, господин Лысенко?

Запрос статуса и снятие карантина

Кроме передачи координат приложение еще регулярно делает запрос статуса. Кстати, возможно, что при запросе статуса и приходит запрос сделать селфи. Когда приложение перестало у меня запрашивать селфи, я ради интереса отсниффил запрос статуса:

Самое интересное в ответе сервера – это “quarantine: null”. Это означает, что карантин закончился. Но приложение вам об этом не говорит. Более того, в message они все еще обещают запрашивать селфи. И статус все равно активный. И координаты… ну конечно же приложение продолжает слать координаты устройства на сервер ДИТ! Поэтому удаляйте приложение сразу же по окончании карантина.

Что можно сделать

Из написанного очевидно, что можно написать скрипт, который будет эмулировать работу приложения и отсылать все нужные данные. Написание затрудняется тем, что в процессе тестирования можно легко схватить штраф. В первую очередь, нужно до конца отсниффить весь процесс регистрации, в том числе, в момент получения SMS-ки с кодом. Разобраться с Bearer аутентификацией и другими мелочами. Вполне возможно, что анализируют EXIF записи фоток. В которых есть точное время, а также могут быть координаты. Поэтому решением будет наделать много разных фоток заранее, а EXIF править уже на ходу перед отсылкой.

Ну и в заключении хочу сказать, что ни в коем случае не призываю кого-либо нарушать карантин, особенно при положительном тесте на коронавирус. Это лишь анализ системы и небольшой камушек в огород ДИТ, которые любят делать странные публичные заявления. Не болейте!

Ссылка на основную публикацию