Článek
Samotná instalace aplikace z App Storu proběhla v pořádku. Zde rozhodně kvituji, že její velikost je jen kolem 30 MB, a proto by neměla nijak zabírat prostor jiným věcem.
Spárování přes bankovní identitu již bylo horší a povedlo se až na pátý pokus. To jsem samozřejmě tak nějak očekával, takže mě to nijak nevyvedlo z míry. Přeci jen všichni známe, jaké problémy jsou v začátcích českých projektů zaměřených na digitalizaci.
Po stažení a aktualizaci dokladů jsem si v aplikaci nastavil PIN a zapnul ověření skrz biometrii a začal testovat, zda vše běží, jak má. Bohužel musím říci, že neběží, protože PIN aplikace lze obejít pouze znalostí PINu telefonu, a to je za mě velký problém.
Nejprve popíšu, jak funguje zabezpečení u aplikací pro mobilní bankovnictví. Pokud někdo nalezne můj telefon, tak ho musí nejprve odemknout, a to buď biometrií a nebo PINem. Řekněme, že z nějakého důvodu PIN zná nebo se ho nějak jinak dozvěděl. Telefon je tedy odemčený, ale bankovní aplikace chce pro přihlášení opět biometrii. Pokud se dvakrát nepovede, tak nelze zadat pin telefonu. Musí se zadat heslo do bankovnictví, které většinou musí být minimálně osmimístné a obsahovat velká a malá písmena, číslice a speciální znaky. To už by musela být hodně velká náhoda či nezodpovědnost, aby se někdo jiný do bankovnictví dostal.
Bohužel u eDokladů je to jinak. Pokud se podaří odemknout telefon PINem, tak tím samým se lze dostat i do eDokladů. Stačí, aby došlo dvakrát k nerozpoznání obličeje a narozdíl od bankovních aplikací se zobrazí nabídka Use Passcode (viz obrázek níže), která chce právě PIN k telefonu. Po zadání PINu k telefonu již aplikace nepožaduje PIN k aplikaci.
V tuto chvíli se tedy kdokoliv může podívat na identitu majitele telefonu a zjistit jeho citlivé údaje. Vyzkoušel bych také zda lze provést takto i ověření, ale jelikož nikde poblíž eDoklady neakceptují, tak bohužel nemohu, ale předpokládám, že i to v tuto chvíli nebude problém.
Závěrem tedy mohu s jistotou říci, že aplikace eDoklady je hůře zabezpečená aplikace než mobilní bankovní aplikace a jiné aplikace, které využívají biometrie. Tam totiž zadat PIN telefonu pro ověření nelze.
Poznámka: Testováno na iOS s aplikací eDoklady ve verzi 1.0.0
Edit 22.01.24: Vyšla nová verze 1.0.1 aplikace eDoklady a popisovaná chyba je stále přítomna.
Edit 23.01.24: Vyšla nová verze 1.0.2 aplikace eDoklady a popisovaná chyba je stále přítomna.