Tocmai am trimis această cerere de informare la STS. Vă anunț ce răspund. 🙂
Bună ziua,
În baza Legii 544/2001 privind accesul la informațiile de interes public, doresc să primesc o copie a codului-sursă pentru aplicația Check DCC pentru scanarea certificatelor Covid-19.
Doresc ca informațiile să îmi fie furnizate prin e-mail la adresa cata@francu.com.
Precizez că sînt inginer software și doresc să studiez codul-sursă pentru a mă asigura că face doar operațiile necesare (validarea certificatelor) și nimic altceva, în special că nu transmite nicăieri informații despre ce persoană a fost la ce adresă IP la ce moment în timp.
Vă mulțumesc,
Cătălin-Andrei Frâncu
De ce este relevant: Aplicația oficială pentru scanarea certificatelor în mall-uri, restaurante, hoteluri etc. este Check DCC, o aplicație neliberă în sensul libertății software (adică al cărei cod-sursă nu este publicat). Asta înseamnă că trebuie să ne punem încrederea în dezvoltator (STS – Serviciul de Telecomunicații Speciale) că aplicația face doar ceea ce promite și nimic insidios.
Ce promite să facă aplicația? Să scaneze un certificat Covid și să confirme sau infirme validitatea certificatului. Atît este suficient pentru ca gazda să aibă încredere că i-am prezentat un certificat valid. (Rămîne întrebarea de ce nu i-aș putea prezenta un certificat descărcat de pe Internet, dar validarea identității este o altă discuție).
Ce lucru insidios ar putea să facă aplicația? Avînd în vedere că printre permisiunile necesare este accesul deplin la rețea, ar putea face orice. De exemplu, să trimită la compania-mamă (STS) informația că eu am fost la o adresă IP anume într-o zi anume, la o oră anume. Din adresa IP, dacă este o adresă de cablu / fibră optică (de exemplu wifi-ul restaurantului), se poate afla destul de ușor adresa fizică. Iar STS ar putea să stocheze aceste informații pentru o durată și un scop nedeterminate.
Există și varianta candidă, în care aplicația nu trimite nimic prin rețea, sau în care aplicația trimite aceste date strict pentru validare, validarea se face pe serverul STS, iar STS nu stochează nimic. Din păcate, aceasta este problema cu software-ul neliber: el face un apel la încredere care pur și simplu nu ar fi necesar dacă am folosi software liber.
Revin cînd am noutăți.