Hlavní obsah
Internet a technologie

PIN aplikace eDoklady lze obejít. Pro spuštění aplikace stačí znát jen PIN zařízení

Médium.cz je otevřená blogovací platforma, kde mohou lidé svobodně publikovat své texty. Nejde o postoje Seznam.cz ani žádné z jeho redakcí.

Foto: Pixabay.com

Tak jsme se dočkali a konečně si můžeme do mobilu nahrát náš občanský průkaz. Jak to však u nás bývá s digitalizací, tak i zde jsou problémy. Ten největší za mě je, že lze obejít PIN aplikace.

Článek

Samotná instalace aplikace z App Storu proběhla v pořádku. Zde rozhodně kvituji, že její velikost je jen kolem 30 MB, a proto by neměla nijak zabírat prostor jiným věcem.

Spárování přes bankovní identitu již bylo horší a povedlo se až na pátý pokus. To jsem samozřejmě tak nějak očekával, takže mě to nijak nevyvedlo z míry. Přeci jen všichni známe, jaké problémy jsou v začátcích českých projektů zaměřených na digitalizaci.

Po stažení a aktualizaci dokladů jsem si v aplikaci nastavil PIN a zapnul ověření skrz biometrii a začal testovat, zda vše běží, jak má. Bohužel musím říci, že neběží, protože PIN aplikace lze obejít pouze znalostí PINu telefonu, a to je za mě velký problém.

Nejprve popíšu, jak funguje zabezpečení u aplikací pro mobilní bankovnictví. Pokud někdo nalezne můj telefon, tak ho musí nejprve odemknout, a to buď biometrií a nebo PINem. Řekněme, že z nějakého důvodu PIN zná nebo se ho nějak jinak dozvěděl. Telefon je tedy odemčený, ale bankovní aplikace chce pro přihlášení opět biometrii. Pokud se dvakrát nepovede, tak nelze zadat pin telefonu. Musí se zadat heslo do bankovnictví, které většinou musí být minimálně osmimístné a obsahovat velká a malá písmena, číslice a speciální znaky. To už by musela být hodně velká náhoda či nezodpovědnost, aby se někdo jiný do bankovnictví dostal.

Bohužel u eDokladů je to jinak. Pokud se podaří odemknout telefon PINem, tak tím samým se lze dostat i do eDokladů. Stačí, aby došlo dvakrát k nerozpoznání obličeje a narozdíl od bankovních aplikací se zobrazí nabídka Use Passcode (viz obrázek níže), která chce právě PIN k telefonu. Po zadání PINu k telefonu již aplikace nepožaduje PIN k aplikaci.

Foto: Tefi

chyba

V tuto chvíli se tedy kdokoliv může podívat na identitu majitele telefonu a zjistit jeho citlivé údaje. Vyzkoušel bych také zda lze provést takto i ověření, ale jelikož nikde poblíž eDoklady neakceptují, tak bohužel nemohu, ale předpokládám, že i to v tuto chvíli nebude problém.

Závěrem tedy mohu s jistotou říci, že aplikace eDoklady je hůře zabezpečená aplikace než mobilní bankovní aplikace a jiné aplikace, které využívají biometrie. Tam totiž zadat PIN telefonu pro ověření nelze.

Poznámka: Testováno na iOS s aplikací eDoklady ve verzi 1.0.0

Edit 22.01.24: Vyšla nová verze 1.0.1 aplikace eDoklady a popisovaná chyba je stále přítomna.

Edit 23.01.24: Vyšla nová verze 1.0.2 aplikace eDoklady a popisovaná chyba je stále přítomna.

Máte na tohle téma jiný názor? Napište o něm vlastní článek.

Texty jsou tvořeny uživateli a nepodléhají procesu korektury. Pokud najdete chybu nebo nepřesnost, prosíme, pošlete nám ji na medium.chyby@firma.seznam.cz.

Sdílejte s lidmi své příběhy

Stačí mít účet na Seznamu a můžete začít psát. Ty nejlepší články se mohou zobrazit i na hlavní stránce Seznam.cz