как выглядит социальный мониторинг фото приложение

Как выглядит социальный мониторинг фото приложение

Врач даст вам на подпись документы — согласие на лечение дома или постановление санитарного врача о самоизоляции.

С этого момента в течение 24 часов вам необходимо установить приложение «Социальный мониторинг» и пройти регистрацию. Все контролируется автоматически. Поэтому, если через 24 часа вы не пройдете регистрацию, получите штраф (статья 3.18.1 КоАП города Москвы, часть 2).

Врач даст вам на подпись документы — согласие на лечение дома или постановление санитарного врача о самоизоляции.

С этого момента в течение 24 часов вам необходимо установить приложение «Социальный мониторинг» и пройти регистрацию. Все контролируется автоматически. Поэтому, если через 24 часа вы не пройдете регистрацию, получите штраф (статья 3.18.1 КоАП города Москвы, часть 2).

Введите в приложение свой номер телефона. После вы получите СМС-сообщение с кодом для подтверждения номера телефона, введите его в приложении.

При регистрации в приложении необходимо ввести тот номер телефона, который вы указали в согласии на получение медицинской помощи на дому или постановлении санитарного врача.

После регистрации отправьте первое фото.

Введите в приложение свой номер телефона. После вы получите СМС-сообщение с кодом для подтверждения номера телефона, введите его в приложении.

При регистрации в приложении необходимо ввести тот номер телефона, который вы указали в согласии на получение медицинской помощи на дому или постановлении санитарного врача.

После регистрации отправьте первое фото.

По нарушениям режима самоизоляции Постановление о штрафе может быть вынесено Главным контрольным управлением города Москвы или Объединением административно-технических инспекций города Москвы (ОАТИ).

Обжаловать Постановление можно онлайн.

Подача жалобы на Постановление о вынесении штрафа в электронном виде доступна только для зарегистрированных пользователей. Также обжаловать штраф вы можете в течение 10 дней с даты получения Постановления на почте, направив жалобу в письменном виде в районный суд по месту жительства, либо в орган, должностному лицу, которыми вынесено Постановление о штрафе.

Порядок обжалования указан в Постановлении об административном правонарушении. Если у вас имеются документы, подтверждающие отсутствие нарушений, просим приложить их к жалобе, например:

— закрытый больничный лист

— фотографии, сделанные с пометкой геолокации

Решение по жалобе будет доведено до вас в установленном порядке посредством почтового отправления, а также продублировано в Личном кабинете.

Источник

Мониторим мониторинг. Что внутри у приложения для изоляции на дому

Содержание статьи

Итак, последняя версия приложения — 1.4.1. Разработчик приложения — Департамент информационных технологий города Москвы. Существуют версии для Android и iOS. По данным из Google Play, на текущий момент приложение установлено более чем у 50 тысяч пользователей. Обещано, что если ваш телефон не поддерживает его, то в теории вам должен быть предоставлен аппарат с уже установленным приложением. На практике, конечно, такое случается далеко не всегда и не сразу.

На сайте мэра Москвы заявлено, что «приложение при авторизации просит подтвердить номер телефона и сделать фотографию лица, а в дальнейшем фиксирует геолокацию и запрашивает фотографию посредством пуш-уведомления». С виду это действительно так, а если проигнорировать запрос на фото или выйти за пределы квартиры, будет автоматически выписан штраф. Если отказаться от установки, то принудительно поместят в обсерватор или больницу. Если удалить приложение после установки и регистрации, то будут присылать штрафы.

Конечно, ставить что-либо на свой телефон по чьему-то требованию мне не хотелось, но раз уж я был к этому принужден весьма незамысловатым способом, то надо хотя бы проверить, действительно ли приложение выполняет только заявленные функции, или там есть что-то еще.

Итак, поехали. Сразу скажу — я не гуру реверса, так что мог чего-то не заметить. Если обнаружишь что-то новое, обязательно поделись находкой в комментариях.

Смотрим трафик

Первым делом я решил проверить трафик с помощью приложения Fiddler, однако тут меня ждало разочарование. «Социальный мониторинг» устанавливает шифрованное соединение (HTTPS) с сервером mos.ru, а что там происходит дальше — так просто не понять, нужно или рутовать телефон, или пересобирать приложение. Но на рутованном аппарате приложение не работает, а пересобирать его я не рискнул, слишком высока цена ошибки — 4000 рублей за каждый пропущенный запрос на фотографию. А вдруг этот запрос придет как раз в тот момент, когда я буду с трафиком разбираться.

С помощью Fiddler и logcat удалось выяснить только то, что приложение раз в пять минут что-то отправляет на mos.ru. Что ж, придется декомпилировать и ковыряться в коде.

Декомпилируем приложение

Для декомпиляции я использовал программу JEB версии 3.17.1 производства PNF Software. На мой взгляд, это одно из лучших приложений для исследования APK, единственный его недостаток — высокая стоимость.

Приложение подписано сертификатом, сгенерированным 17 апреля 2020 года, и почему-то указан город Самара. Интересно, при чем тут Самара?

Первым делом смотрим, что в манифесте.

Версия программы — 1.4.1, имя пакета — ru.mos.socmon.

Приложение запрашивает следующие разрешения: доступ к координатам, в том числе и фоновый, доступ к камере, к интернету, состоянию сети, состоянию и изменению Wi-Fi, возможность запускать неубиваемые сервисы и добавление в список исключений оптимизации батареи (чтобы ОС не заставляла приложение экономить энергию), а также чтение и запись данных на карте памяти. Ну что же, уже неплохо — намеков на недекларированные функции пока не видно. Контакты, журнал звонков, SMS и прочее вроде не просят. Будем смотреть дальше.

Дальше видим, что приложение весьма обфусцировано. Конечно, это осложняет анализ, но попробуем.

Прежде чем погружаться в дебри кода, окинем взглядом используемые приложением нативные библиотеки, а именно:

Беглый анализ показал, что, помимо обфусцированного кода и почти стандартных OkHttp 3, Retrofit 2 и Crashlytics, приложение использует компоненты com.redmadrobot.inputmask.helper и com.scottyab.rootbeer.

Первый компонент особого интереса не представляет, он используется для проверки ввода телефонного номера при регистрации приложения. Rootbeer же как раз проверяет «рутованность» используемого устройства: ищет определенные приложения, бинарный файл su или компоненты BusyBox.

Все, дальше вроде тянуть уже некуда, надо смотреть код. Я не буду утомлять читателя скрупулезным и занудным описанием алгоритма, тем более что из-за обфускации кода пришлось бы часто использовать слова «вероятно», «похоже» и «судя по всему», и просто расскажу своими словами.

При запуске приложение достает из настроек адрес сервера для отправки данных, интервал для отправки координат и интервал для сбора и отправки телеметрии (отметим, что эти значения можно изменить по команде с сервера). Затем проверяет наличие необходимых для работы разрешений и, если нужно, запрашивает их, а также выводит запрос на добавление в «белый список» энергосбережения, чтобы ОС не мешала работать в фоновом режиме.

Также проверяется (с помощью акселерометра), держит ли пользователь устройство в руках.

В приложении есть три основных сервиса:

Приложение периодически (в моем случае раз в пять минут, но это значение может быть изменено сервером) получает координаты и телеметрию, отправляет их на сервер, а также ждет запроса на фото. Если запрос на фото пришел, то выводится уведомление и подается звуковой сигнал. Кстати, когда пользователь делает фотографию, устройство автоматически ищет лицо в области предпросмотра (см. выше про libface_detector). Пока лицо не будет найдено, фотографию отправить не получится.

В интернете попадалась информация, что у пользователя есть один час с прихода уведомления, чтобы сделать фото. В коде я никаких подтверждений этому не нашел. Если отсчет времени ведется, то это, надо думать, происходит на сервере.

Посмотрим подробнее, какие именно данные приложение отправляет на сервер.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Источник

Как работает приложение «Социальный мониторинг»: ответы на вопросы

Приложение «Социальный мониторинг» создано для пациентов с COVID-19 и ОРВИ, которые лечатся в домашних условиях. Разработка позволяет москвичам, у которых болезнь протекает в легкой форме, оставаться дома в комфортных условиях и при этом информировать о добросовестном соблюдении карантина. Рассказываем, как приложение работает и в каких случаях нужно им пользоваться.

Как работает приложение?

При регистрации пользователь подтверждает номер телефона, делает фотографию и делится геолокацией (местонахождением). Это нужно для того, чтобы проверить, находится ли пользователь в той же локации, которую указал в согласии, выбирая лечение на дому.

Чтобы у пользователя не было возможности оставить смартфон дома и выйти на улицу без него, приложение в случайное время присылает пуш-уведомления с запросом дополнительного подтверждения — для этого потребуется сделать селфи.

Что будет, если пользователь нарушит правила?

Если пользователь покидает исходную геолокацию или не реагирует на уведомления, система предупреждает городские службы о возможном нарушении режима изоляции.

Кто разрабатывал приложение?

Какие данные пользователь передает сервису и как они защищены?

Личные данные, которые пользователь передает сервису, определены в согласии на получение медицинской помощи на дому и соблюдение режима изоляции. Пациент обязан подписать документ, если выбирает лечение на дому. Он указывает ФИО, адрес, по которому обязуется находиться на протяжении всего периода лечения, и номер мобильного телефона. Также пациент дает согласие на осуществление фотосъемки и предъявление документа, удостоверяющего личность.

Приложение при авторизации просит подтвердить номер телефона и сделать селфи, а в дальнейшем фиксирует геолокацию и запрашивает фотографию посредством пуш-уведомления.

Все данные, которые пользователь передает приложению, хранятся в защищенном виде на серверах Департамента информационных технологий. После окончания лечения эти данные уничтожаются.

Получается, что всех пациентов с коронавирусом обязывают пользоваться приложением. Насколько это законно?

Указом Мэра Москвы от 5 марта 2020 года № 12-УМ установлено, что пациенты с подтвержденной коронавирусной инфекцией, проходящие лечение на дому, обязаны использовать технологии электронного мониторинга геолокации, в том числе сервис «Социальный мониторинг».

На дому лечение проходят только те пациенты, у которых заболевание протекает в легкой форме. Они лично подписывают согласие о получении медицинской помощи на дому и соблюдении режима изоляции, в котором обязуются обеспечить регистрацию в приложении «Социальный мониторинг» и его дальнейшее использование.

Что будет, если человек откажется подписать согласие?

Подписание согласия — обязательное условие для прохождения лечения на дому. Пациента, не подписавшего этот документ, госпитализируют в медицинское учреждение.

Я не являюсь пациентом с COVID-19 и ОРВИ. Смогу ли я воспользоваться приложением?

Нет, приложение создано исключительно для пациентов с подтвержденным коронавирусом и ОРВИ. Использовать его для контроля местоположения остальных горожан не планируется. Более того, если человек не является больным COVID-19 и ОРВИ, он не сможет завершить регистрацию в приложении, поскольку его данные не подтвердятся в базе пациентов.

У меня нет своего смартфона, но я хочу лечиться на дому и обязан пользоваться «Социальным мониторингом». Как быть?

Тем, у кого нет возможности установить приложение на личный смартфон, на время лечения бесплатно предоставляется телефон с установленным приложением. Использовать его как обычный смартфон не получится — все функции кроме «Социального мониторинга» будут заблокированы. После окончания лечения пациент обязан вернуть технику городу для дезинфекции.

Что будет, если пациент откажется устанавливать приложение или перестанет им пользоваться?

Пациент, выбравший лечение на дому, обязан использовать приложение до полного выздоровления и получения отрицательного результата анализа на коронавирус. Если пациент подписал согласие, а затем отказался использовать приложение либо в какой-то момент перестал отвечать на пуш-уведомления, он будет привлечен к административной ответственности и принудительно госпитализирован в медицинское учреждение.

Используются ли подобные сервисы в мире? Доказали ли они свою эффективность?

Ранее ограничительные меры, доказавшие свою эффективность, были приняты в Китае. Если в России приложение будет использоваться только для больных коронавирусом и данные будут передаваться в защищенном виде только специалистами, то в Китае информация о заразившихся доступна практически всем. Например, китайское приложение Close Contact Detector позволяет пользователю проверить, находился ли он в тесном контакте с кем-то из зараженных. Кроме того, в приложении есть карта, показывающая здания, где проживают инфицированные пациенты.

В Польше власти запустили мобильное приложение «Домашний карантин». У людей появляется выбор — или внезапные визиты полиции для проверки соблюдения карантина, или установка приложения. Геолокация и современный алгоритм распознавания лиц позволяет определять, действительно ли человек соблюдает карантин в месте, указанном в форме местоположения.

Какую ответственность ввели за нарушения? Существует ли штраф? Если да, сколько придется заплатить?

За нарушение режима изоляции гражданину грозит штраф на сумму от 15 до 40 тысяч рублей, а также принудительная госпитализация в медицинское учреждение.

Источник

«Социальный мониторинг»: как пользоваться приложением

Зачем нужен «Социальный мониторинг»?

Приложение «Социальный мониторинг» разработано для пациентов с коронавирусной инфекцией, тех, кто живет вместе с ними, а также для пациентов с ОРВИ. Оно позволяет оставаться дома и информировать о добросовестном соблюдении карантина. Благодаря технологиям электронного мониторинга жители столицы могут быть уверенными в том, что пациенты с коронавирусом не нарушают режим изоляции и не подвергают риску заражения других горожан.

Как это работает?

При авторизации в приложении, установленном на смартфоне, пользователь должен подтвердить номер телефона. Для этого необходимо ввести код, который приходит в СМС-сообщении на номер телефона, указанный в согласии на получение медицинской помощи на дому или постановлении главного санитарного врача. После этого система проверяет, есть ли человек с таким номером телефона в реестре. Если информация подтверждается, пользователю открывается доступ к функциям приложения. Если человек не подписывал документы, пользоваться «Социальным мониторингом» он не сможет.

Для дальнейшей регистрации необходимо сделать фотографию на фронтальную камеру. После этого приложение будет автоматически отслеживать геолокацию пользователя и сравнивать ее с адресом, указанным в согласии или постановлении. Чтобы убедиться в том, что пользователь находится рядом с телефоном, приложение будет в случайное время направлять пользователю запрос на дополнительную идентификацию по фотографии.

Что будет, если пользователь нарушит карантин?

Если было подписано соответствующее согласие или постановление санитарного врача, а в дальнейшем человек отказался от использования сервиса, вовремя не отреагировал на запрос приложения или нарушил режим изоляции, он будет привлечен к административной ответственности. Гражданину грозит штраф в размере четырех тысяч рублей, а также принудительная госпитализация.

Как защищены данные?

Личные данные, которые пользователь передает сервису, определены в согласии на получение медицинской помощи на дому или постановлении главного санитарного врача. Там указываются ФИО, адрес, по которому человек будет находиться на протяжении всего периода карантина, и номер мобильного телефона. Он также дает согласие на осуществление фотосъемки и предъявление документа, удостоверяющего личность.

Приложение при авторизации просит подтвердить номер телефона и сделать селфи, а в дальнейшем фиксирует геолокацию и в случайное время запрашивает фотографию.

Все данные, которые пользователь передает приложению, хранятся на серверах Департамента информационных технологий в защищенном виде. После завершения карантина они удаляются в соответствии с действующим законодательством.

Обязан ли пациент пользоваться приложением?

Указом Мэра Москвы от 5 марта 2020 года № 12-УМ установлено, что пациенты с подтвержденной коронавирусной инфекцией, проходящие лечение на дому, те, кто живут вместе с ними, а также пациенты с ОРВИ обязаны использовать технологии электронного мониторинга геолокации, в том числе сервис «Социальный мониторинг». Это необходимо, чтобы человек мог оставаться дома и информировать о соблюдении карантинного режима. «Социальный мониторинг» позволяет избежать нарушения режима изоляции пациентами с коронавирусом, а значит и дальнейшего распространения инфекции.

Пациенты с COVID-19, те, кто живет вместе с ними, а также пациенты с ОРВИ лично подписывают согласие о получении медицинской помощи на дому или постановление главного санитарного врача. С этого момента в течение 24 часов необходимо зарегистрироваться в приложении «Социальный мониторинг».

А если пациент не подпишет согласие или постановление?

Подписание согласия на получение медицинской помощи в амбулаторных условиях — обязательное условие для прохождения лечения коронавирусной инфекции на дому. Постановление главного санитарного врача также подписывают пациенты с симптомами ОРВИ и те, кто живет вместе с инфицированными COVID-19. Не подписавших этот документ госпитализируют.

Можно ли пользоваться приложением, если не подтвержден COVID-19 или ОРВИ?

Нет, приложение создано исключительно для пациентов с подтвержденным диагнозом «коронавирусная инфекция», тех, кто живет вместе с ними, а также для пациентов с ОРВИ. Использовать его для контроля местоположения остальных горожан не планируется.

Как быть, если нет возможности установить приложение на личный телефон?

Тем, у кого нет возможности установить приложение на личный смартфон, на время лечения бесплатно предоставляется телефон с установленным приложением. Использовать его как обычный смартфон не получится — все функции, кроме «Социального мониторинга», будут заблокированы. После окончания лечения пациент обязан вернуть технику.

Есть ли мировая практика использования таких сервисов?

Ранее ограничительные меры, доказавшие свою эффективность, были приняты в Китае. Если в России приложение используется только для больных коронавирусом и данные будут передаваться в защищенном виде только специалистам, то в Китае информация о заразившихся доступна практически всем. Например, китайское приложение Close Contact Detector позволяет пользователю проверить, находился ли он в тесном контакте с кем-то из зараженных. Кроме того, в приложении есть карта, показывающая здания, где проживают инфицированные пациенты.

В Польше власти запустили мобильное приложение «Домашний карантин». У людей появляется выбор — или внезапные визиты полиции для проверки соблюдения карантина, или установка приложения. Геолокация и современный алгоритм распознавания лиц позволяют определять, действительно ли человек соблюдает карантин в месте, указанном в форме местоположения.

Источник

Приложение «Социальный мониторинг»: анализ траффика

Началось все с прилета в Москву. Как и положено, я сдал необходимый ПЦР тест на ковид, дождался отрицательного результата, залил его на Госуслуги и… решил, что на этом мои московские приключения закончились. Но все оказалось не так просто. Ко мне внезапно пришел врач. И вручил постановление, что 2 недели я обязан сидеть дома в карантине, так как в самолете со мной летел один зараженный. Про приложение «Социальный мониторинг» я много слышал и даже читал статью на Хабре, где люди покопались в его бета-версии. Ну а какой же исследователь не соблазнится покопаться в таком интересном приложении?

Скажу сразу, моей целью не было обмануть систему или сбежать из карантина. Свои 2 недели я честно просидел дома. Ну хорошо, пару раз выходил в ближайший магазин за пивом. Целью было посмотреть, что о нас знает эта система и насколько правдивы некоторые высказывания ее авторов. Сначала я занялся сбором предварительной информации. Выяснил примерно следующее:

Ставлю на Макбук mitmproxy, очень удобный анализатор траффика с минимумом настроек. Скачиваю их корневой сертификат, добавляю на айфон профиль – и вот оно! Весь траффик программы мы видим, как на ладони.

Регистрация приложения

Установить и зарегистрировать приложение нужно в течение суток от начала карантина. По этому поводу приходит SMS-ка. Раньше это делать бессмысленно, просто телефон не найдется в базе. Вот так выглядит запрос на регистрацию:

В ответ мы всегда получаем “200 OK” и ничего более. Если телефон есть в базе, придет SMS-ка с кодом, который нужно ввести в приложение. Если телефона в базе нет, просто ничего не придет. В deviceId передается UDID айфона. К этому идентификатору все привязано. Если сломается айфон и мы поднимем новый из бекапа, приложение работать не будет. И будет штраф, с которым непонятно, как разбираться. Здесь и далее приватные данные будут полностью или частично заменяться на “XXYYZZ”.

Передача координат

Дальше я набрался смелости и подключил через mitmproxy «живой» телефон. Каждые минут 5-10, а также при запуске приложения, делается вот такой запрос:

Здесь мы опять же видим deviceId, он другой, первый запрос я делал с айпада.

accuracy – точность определения координат, не знаю, в каких единицах
battery_level – уровень заряда батарейки. Интересно, зачем он ДИТ-у?
charge – стоит ли телефон на зарядке. Тоже непонятно, зачем передается.
datetime – текущая дата и время. Возможно используется, чтобы нельзя было «подкрутить» время на устройстве.
device_model – модель телефона. Ну мне не жалко, если об этом узнает ДИТ.
indoorNavigation – довольно интересно. Здесь список известных wifi сетей, по которым можно определить координату. Но при этом не передается BSSID, что делает эту информацию абсолютно бесполезной. По имени сети координаты не определить.
install_datetime – может использоваться для защиты от эмуляции этих запросов. Хотя эту информацию можно при желании получить и довольно несложно.
lat, lon – собственно, координаты
location_status – включен ли GPS и разрешено ли программе пользоваться им в фоне. А если нет, будет штраф.
os_version – версия iOS
version_ext – не разбирался, возможно, версия самого приложения

Передача селфи

Начинается самое интересное. Сниффим траффик в момент передачи сделанного селфи. Итак, где же наши биометрические хеши и видео? А вот что происходит на самом деле:

Ну все понятно, да? Эта часть защищена чуть сильнее, в запросе еще фигурирует Bearer токен, по которому организована авторизация. Момент получения токена я не отсниффил, возможно, токен приходит при запросе на селфи. Уходит ровно одна фотка. Где же ваш биометрический хеш, господин Лысенко?

Запрос статуса и снятие карантина

Кроме передачи координат приложение еще регулярно делает запрос статуса. Кстати, возможно, что при запросе статуса и приходит запрос сделать селфи. Когда приложение перестало у меня запрашивать селфи, я ради интереса отсниффил запрос статуса:

Самое интересное в ответе сервера – это “quarantine: null”. Это означает, что карантин закончился. Но приложение вам об этом не говорит. Более того, в message они все еще обещают запрашивать селфи. И статус все равно активный. И координаты… ну конечно же приложение продолжает слать координаты устройства на сервер ДИТ! Поэтому удаляйте приложение сразу же по окончании карантина.

Что можно сделать

Из написанного очевидно, что можно написать скрипт, который будет эмулировать работу приложения и отсылать все нужные данные. Написание затрудняется тем, что в процессе тестирования можно легко схватить штраф. В первую очередь, нужно до конца отсниффить весь процесс регистрации, в том числе, в момент получения SMS-ки с кодом. Разобраться с Bearer аутентификацией и другими мелочами. Вполне возможно, что анализируют EXIF записи фоток. В которых есть точное время, а также могут быть координаты. Поэтому решением будет наделать много разных фоток заранее, а EXIF править уже на ходу перед отсылкой.

Ну и в заключении хочу сказать, что ни в коем случае не призываю кого-либо нарушать карантин, особенно при положительном тесте на коронавирус. Это лишь анализ системы и небольшой камушек в огород ДИТ, которые любят делать странные публичные заявления. Не болейте!

Источник