برنامه انتقال داده Corona RKI داده های بهداشتی را با استفاده از مانیتور تناسب اندام جمع آوری می کند. متأسفانه به دلیل اینکه نرم افزار منبع باز نیست ، جریان داده ها قابل مشاهده نیست. تجزیه و تحلیل رفتار انتقال داده می تواند در ارزیابی دوستی از حفاظت از داده ها نقش داشته باشد. برای انجام این کار ، اغلب لازم است که اقدامات امنیتی را برای خواندن جریان داده های برنامه دور بزنید. این همچنین در مورد برنامه RKI صدق می کند. بستگی به پیوست گواهینامه ها دارد – و در اولین تلاش ، متأسفانه ، نتوانستم مطالب رد و بدل شده توسط برنامه را بخوانم. گواهینامه عمومی (مشتری) ظاهراً در برنامه ذخیره می شود و از این رو از حمله انسان در میانه جلوگیری می کند. thrye_prod.cer نام دارد و در دامنه * .und-gesundheit.de منتشر می شود. یک شرکت در برلین ، mHealth Pioneers GmbH. این گواهی توسط خود شرکت DigiCert امضا شده است. و دارای کلید 2048 بیتی است.
در کد ، این گواهینامه به عنوان بخشی از شیء ادغام می شود:
صدور گواهینامه generateCertificate = CertificateFective.getInstance (a (55795 ، 250 ، 5) .tern ()). generateCertificate (this.f991a.getAssets (). open ("[ thryve_prod.cer "))؛
و سپس نیز پرسید. با تشکر از چارچوب Frida ، احتمالاً اکنون می توانید یک اسکریپت تزریق ایجاد کنید که می تواند Cert pinning را لغو کند. روش هایی که می دانم کار نمی کنند.
صرفنظر از گذشتن از صدور گواهینامه ها با استفاده از برنامه انتقال داده های كرونا ، صرفاً كوشش است. معقول تر خواهد بود اگر چنین برنامه ای از همان ابتدا به عنوان منبع آزاد منتشر شود. بنابراین شما باید در تاریکی بهم بزنید و در نهایت به توسعه دهنده برنامه یا ناشر اعتماد کنید.
حداقل تجزیه و تحلیل کد محلی نشان داد که هیچ برنامه ردیابی در برنامه ادغام نشده است. برنامه ClassyShark3xodus نیز این موضوع را تأیید کرد.
از کجا برنامه به هم وصل می شود (دامنه ها) ، شما هنوز هم می توانید تعیین کنید:
- پس از وارد کردن کدپستی : datenspende.und-gesund.de
- در طول استفاده : corona-datenspende.de [19659009] پیوند به Fitbit-Wearable : accounts.fitbit.com، fitbit.com،
Resources.fitbit.com - پیوند به گارمین-پوشیدنی : اتصال. garmin.com،
static.garmin.com، sso.garmin.com، static.garmincdn.com،
ajax.cloudflare.com - پیوند به Polar Wearable : flow.polar.com ، stream.cdn.polar.com،
fonts.googleapis.com، gstatic.com - پیوند به وینگ-پوشیدنی : account.withings.com،
fonts.googleapis.com، google- analytics .com، google.com - پیوند به GoogleFit-Wearable : accounts.google.com،
ssl.gstatic.com، fonts.gstatic.com، fonts.googleapis.com، apis. google.com [19659015] آیا جمع آوری داده های تناسب اندام برای تعیین بیماری احتمالی COVID-19 منطقی است؟ من نمی توانم آن را ارزیابی کنم ، دیگران قطعاً می توانند بهتر عمل کنند. به شخصه ، من فکر می کنم که استفاده از دستگاه های پوشیدنی / ساعت های هوشمند سوال برانگیز است – آنها برای دوست داشتن آنها برای محافظت از داده ها شناخته نمی شوند. کاملاً برعکس:ساعت های هوشمند هنگام ایجاد یک حساب کاربری و اتصال به تلفن هوشمند ، از اطلاعات شخصی درخواست می کنند – غالباً اطلاعاتی را که برای عملکردی خالص لازم نیست ، دارند. شش تهیه کننده در آزمون حق انتقال این داده ها به اشخاص ثالث را دارند.
اگر از "10 سنگ لمسی" برای ارزیابی برنامه "تماس با ردیابی" از CCC برای ارزیابی برنامه استفاده می کنید ، برنامه به نظر خوب نمی رسد یا در بعضی از نقاط شما اصلاً نمی توانید بیانیه ای انجام دهید.
به طور خلاصه: کاربران حساس به حفاظت از داده نمی توانند به هیچ وجه از برنامه استفاده کنند زیرا احتمالاً دستگاه پوشیدنی یا ساعت هوشمند ندارند. و اگر چنین باشد ، احتمالاً یک نوع دوستانه برای حفظ حریم خصوصی است که در اینجا پشتیبانی نمی شود.
P.S: هر کسی که ایده تزریق کد Frida را دارد باید با من تماس بگیرد.
به من كمك كنيد تا اهداف اهداي خود را تحقق دهم! شرکت کنید
