mObywatel a jego zabezpieczenia w trakcie wyborów. Ministerstwo Cyfryzacji odpowiada
W niedzielnych wyborach do Parlamentu Europejskiego po raz pierwszy nie potrzebowaliśmy plastikowego dokumentu. Wystarczyła aplikacja mObywatel, ale są wątpliwości, czy spełnia ona wymogi bezpieczeństwa.
W trakcie wyborów swoją tożsamość wystarczyło potwierdzić przy pomocy telefonu za pomocą aplikacji mObywatel. Działa ona, jeśli mamy założonyProfil Zaufany. Zdjęcie z programu mObywatel, które widzicie powyżej, zostało udostępnione na Google Play przez Ministerstwo Cyfryzacji - nie są to dane istniejącej osoby.
Jak wyglądało głosowanie w praktyce? "60-letnia pani popatrzyła mi na ekran, poruszała hologramem i dała mi kartę do głosowania" - mówi nam jeden z głosujących. "Pan wziął w rękę telefon, przyjrzał się groźnie aplikacji, potem obrócił telefon, też mu się groźnie przyjrzał i oddał" - słyszymy od innej osoby.
Podobnych świadectw w sieci jest więcej. Takie niepokojąco pobieżne sprawdzanie tożsamości niektórych mocno zmartwiło. Portal Niebezpiecznik na swoim facebookowym profilu udostępnił wpis Mariusza Dalewskiego, który sugeruje, że mObywatel "pozwala na spore manipulacje".
"Zrobienie samemu aplikacji symulującej dowód dla kogoś, kto zupełnie nie umie programować, zajęłoby pewnie 2-3 dni z dobrymi poradnikami. Zrobienie screena i pokazanie go podczas weryfikacji obstawiam, że też by przeszło" - czytamy we wpisie.
Podobne obawy pojawiły się m.in. na Wykopie. Czy rzeczywiście mObywatel jest luką w systemie, która może doprowadzić do manipulowania głosami?
- Nie ma takiej możliwości. Nie jest to takie proste - mówi w rozmowie z WP Tech Karol Manys z biura prasowego Ministerstwa Cyfryzacji. - Nie ma powodu do obaw. Aplikacja ma kilka zabezpieczeń, które są naprawdę trudne do złamania. Z widocznych na pierwszy rzut oka są to holograficzne godło oraz dynamiczna flaga. Ale to nie wszystko - dodaje Manys.
Nie przejdzie też sposób ze zrzutem ekranu. Przynajmniej na smartfonach z Androidem, których jest najwięcej, nie będzie miał takiej możliwości. Aplikacja blokuje robienie zdjęć i ich zapisywanie.
Ze skradzionym telefonem do wyborczej urny też się nie pójdzie. Manys przypomina, że zdjęcie w mObywatelu jest takie samo, jak w dowodzie osobistym. Aplikacja pokazuje więc nie tylko dane, ale też wygląd właściciela dokumentu. Do tego dochodzi jeszcze specjalny certyfikat kryptograficzny, który w praktyce jest nie do podrobienia. Można też poprosić okazującego aplikację o odświeżenie danych, do czego potrzebny jest jego Profil Zaufany.
Dodatkowo prawdziwość mObywatela bardzo łatwo zweryfikować. Potrzebny jest do tego inny program - mWeryfikator.
Problem w tym, że - jak piszą głosujący użytkownicy mObywatela - w większości przypadków członkowie komisji wyborczych nie korzystali z tego udogodnienia. Po prostu rzucali okiem na ekran telefonu.
W ustawie PKW podkreśliła, jak należy weryfikować głosujących, którzy zamiast dowodu mieli aplikację mObywatel:
Wydaje się więc, że problemem nie są zabezpieczenia mObywatela, tylko brak dokładnej kontroli. O ile założymy, że ktoś rzeczywiście nie przyglądał się hologramowi czy dynamicznej fladze.
Tyle że to nic nowego. Tradycyjne, fizyczne dokumenty także da się podrobić. I również nie zawsze są one przez członków komisji aż tak dokładnie prześwietlane. Nie mamy gwarancji, że siedzący potrafią odróżnić dowód "kolekcjonerski" - który w sieci bardzo łatwo kupić i wykorzystać do innych oszustw - od prawdziwego.
Aplikacja mObywatel jest bezpieczna - zapewnia Ministerstwo Cyfryzacji. Również eksperci do spraw bezpieczeństwa z dystansem podchodzą do możliwości podrobienia cyfrowego dokumentu. "Problemy z wiarygodnością mObywatela nie stwarzają ryzyka sfałszowania wyborów na dużą skalę" - pisze Niebezpiecznik. Zbyt wiele czynności należy wykonać, by podrobić aplikację, na dodatek łatwo o wykrycie oszustwa.