Wirtualny dokument uprawniający m.in. do głosowania można bez problemu skopiować. Bliźniaczą aplikację stworzył student z Krakowa.
mObywatel to jeden z flagowych projektów Ministerstwa Cyfryzacji z ostatnich lat, mający już ponad 350 tys. użytkowników. W jego skład wchodzi usługa mTożsamość, wyświetlającą na ekranie smartfonu dane z rejestru PESEL oraz Rejestru Dowodów Osobistych – te same, które zawiera plastikowy dowód. W ten sposób możemy potwierdzić tożsamość w coraz większej liczbie miejsc, w których wystarczy dokument ze zdjęciem – nie trzeba już mieć fizycznego dokumentu. Na podstawie mTożsamości wylegitymujemy się też podczas wyborów. Zarówno w maju, gdy wybieraliśmy europosłów, jak i 13 października wystarczyło jedynie pokazać mDokument na telefonie i na tej podstawie dostać kartę do głosowania. Na rządowej stronie aplikacji czytamy, że dane można sprawdzić „tradycyjnie (jak każdy inny dokument) lub w aplikacji mWeryfikator”. Ich autentyczność jest w niej potwierdzana po zeskanowaniu kodu QR. Jednak ten drugi sposób podczas wyborów nie był wymagany.
PKW i Ministerstwo Cyfryzacji twierdzą, że aplikacja ma silne zabezpieczenia. Jednym z nich jest blokada wykonania zrzutu ekranu. Podobne blokady stosuje Netflix czy tryb incognito w Google Chrome. Można je obejść na kilka sposobów, które można znaleźć w sieci. Inną opcją jest zainstalowanie na komputerze emulatora – programu, który imituje telefon z Androidem (np. BlueStacks, GenyMotion, Android SDK). Wystarczy pobrać na taki telefon aplikację mTożsamość i wykonać print screen.
– Każdą aplikację można też zdekompilować – dojść do jej kodu źródłowego oraz plików w niej zawartych, np. obrazków. Wystarczy pobrać plik APK ze sklepu GooglePlay lub znaleźć go w internecie, a następnie rozpakować. Autor aplikacji nie może tego uniemożliwić, ale może utrudnić. W przypadku mTożsamości tak się nie stało – tłumaczy student UJ, który odkrył luki w państwowej aplikacji. – Po rozłożeniu aplikacji na czynniki pierwsze dostajemy informacje o użytej czcionce, ikonkach na dole ekranu (pochodzących z biblioteki Google’a), mamy też dostęp do użytych w programie obrazków. Pobrana zawartość pozwala niemal bezbłędnie odtworzyć wizualną warstwę programu – tłumaczy nasz rozmówca.
Uchwała PKW nr 210/2019 wymienia cztery zabezpieczenia wizualne, które potwierdzają, że „wyświetlane dane są wiarygodne, bezpieczne i aktualne”. Dopiero jeśli wzbudzają one wątpliwości, członek komisji może domagać się ponownego zalogowania się. Okazuje się jednak, że te elementy łatwo podrobić.
Pierwszy to hologram – polskie godło, podświetlane na różne kolory, które zmieniają się podczas poruszania ekranem. Ten element nie działa jednak na wszystkich urządzeniach, bo do wyświetlenia hologramu potrzebny jest żyroskop.
Marcin Maj, redaktor i trener w Niebezpiecznik.pl – IT Security: Audits & Trainings, również wskazuje, że zabezpieczenie jest ułomne. Można bowiem zrobić animację, w której godło ciągle zmienia kolory, a podczas okazywania mDokumentu poruszać telefonem. Twórca kopii mTożsamości poradził sobie z tym elementem, nakładając na siebie cztery obrazki z godłem w różnych kolorach.
Drugim gwarantem bezpieczeństwa według PKW jest znak wodny z godłem RP. Według informatyków to po prostu obrazek z orłem. Wystarczy nadać mu półprzezroczystość i umieścić jako tło mDokumentu.
Kolejny element dynamiczny to pulsująca flaga Rzeczypospolitej Polskiej. Jak go podrobić? Prostą animacją, gifem rytmicznie zmieniającym wielkość flagi.
Czwarte zabezpieczenie to data i godzina ostatniej aktualizacji w prawym górnym rogu ekranu. W bliźniaczej aplikacji dowolną datę może wpisać sam użytkownik. Kopię aplikacji student UJ stworzył w formie strony internetowej generującej kolejne mDowody z czarno-białymi zdjęciami i danymi tekstowymi wprowadzanymi przez użytkowników. Jest dostępna dla wszystkich. Co więcej, członkowie komisji zazwyczaj patrzą na zdjęcie i sprawdzają jedynie imiona, nazwisko, PESEL i adres głosującego. Takie informacje o milionach obywateli znaleźć można w KRS, np. gdy adres zamieszkania jest tożsamy z adresem prowadzenia działalności gospodarczej.
Instrukcję twórcy aplikacji bliźniaczej do mTożsamości skonfrontowaliśmy z Marcinem Majem z Niebezpiecznika. – Taki sposób stworzenia aplikacji jest przekonujący i podziwiam pracowitość pomysłodawcy. Ale gdybym ja był oszustem, to… wcale bym tego nie robił. Moim zdaniem wystarczy prosta grafika. I to jest najbardziej przerażające. Większość ludzi nie rozpozna użytej czcionki i nie zauważy, że znak wodny jest w nieco innym miejscu – mówi Maj. Jeden z czytelników Niebezpiecznika na taki zrzut ekranu, w dodatku spreparowany, już po wyborach do Europarlamentu zarejestrował kartę SIM. – Przy tym wszystkim musimy pamiętać, że oszustwo wyborcze może być łatwo wykryte. Wystarczy, że osoba, za którą się podajemy, pójdzie na wybory i zobaczy, że ktoś oddał za nią głos – dodaje Maj.
Po majowych wyborach do Sądu Najwyższego wpłynęły dwa protesty obywateli zaniepokojonych brakiem weryfikacji mTożsamości. Jednak w opinii sądu zarzuty są nieuzasadnione – system zabezpieczeń wizualnych „świadczy o wysokim stopniu poprawności, transparentności i bezpieczeństwa danych udostępnianych w ramach usługi mTożsamość, a co za tym idzie – także o ich wiarygodności”.
Karol Manys z biura prasowego Ministerstwa Cyfryzacji zapewnia, że aplikacja jest całkowicie bezpieczna. Nie było też żadnych sygnałów, by ktokolwiek próbował oszukiwać komisje. Ich członkowie byli też odpowiednio poinstruowani, jak można weryfikować aplikację. Ministerstwo ma sygnały, że niektóre komisje korzystały z mWeryfikatora. Ale aplikacja ma też wiele innych zabezpieczeń. Manys wskazuje też, że standardowych dowodów osobistych także nikt nie weryfikuje specjalnymi czytnikami, choć w razie potrzeby można to oczywiście zrobić.