Как выглядит приложение социальный мониторинг

Приложение «Социальный мониторинг»: анализ траффика

Началось все с прилета в Москву. Как и положено, я сдал необходимый ПЦР тест на ковид, дождался отрицательного результата, залил его на Госуслуги и… решил, что на этом мои московские приключения закончились. Но все оказалось не так просто. Ко мне внезапно пришел врач. И вручил постановление, что 2 недели я обязан сидеть дома в карантине, так как в самолете со мной летел один зараженный. Про приложение «Социальный мониторинг» я много слышал и даже читал статью на Хабре, где люди покопались в его бета-версии. Ну а какой же исследователь не соблазнится покопаться в таком интересном приложении?

Скажу сразу, моей целью не было обмануть систему или сбежать из карантина. Свои 2 недели я честно просидел дома. Ну хорошо, пару раз выходил в ближайший магазин за пивом. Целью было посмотреть, что о нас знает эта система и насколько правдивы некоторые высказывания ее авторов. Сначала я занялся сбором предварительной информации. Выяснил примерно следующее:

Ставлю на Макбук mitmproxy, очень удобный анализатор траффика с минимумом настроек. Скачиваю их корневой сертификат, добавляю на айфон профиль – и вот оно! Весь траффик программы мы видим, как на ладони.

Регистрация приложения

Установить и зарегистрировать приложение нужно в течение суток от начала карантина. По этому поводу приходит SMS-ка. Раньше это делать бессмысленно, просто телефон не найдется в базе. Вот так выглядит запрос на регистрацию:

В ответ мы всегда получаем “200 OK” и ничего более. Если телефон есть в базе, придет SMS-ка с кодом, который нужно ввести в приложение. Если телефона в базе нет, просто ничего не придет. В deviceId передается UDID айфона. К этому идентификатору все привязано. Если сломается айфон и мы поднимем новый из бекапа, приложение работать не будет. И будет штраф, с которым непонятно, как разбираться. Здесь и далее приватные данные будут полностью или частично заменяться на “XXYYZZ”.

Передача координат

Дальше я набрался смелости и подключил через mitmproxy «живой» телефон. Каждые минут 5-10, а также при запуске приложения, делается вот такой запрос:

Здесь мы опять же видим deviceId, он другой, первый запрос я делал с айпада.

accuracy – точность определения координат, не знаю, в каких единицах
battery_level – уровень заряда батарейки. Интересно, зачем он ДИТ-у?
charge – стоит ли телефон на зарядке. Тоже непонятно, зачем передается.
datetime – текущая дата и время. Возможно используется, чтобы нельзя было «подкрутить» время на устройстве.
device_model – модель телефона. Ну мне не жалко, если об этом узнает ДИТ.
indoorNavigation – довольно интересно. Здесь список известных wifi сетей, по которым можно определить координату. Но при этом не передается BSSID, что делает эту информацию абсолютно бесполезной. По имени сети координаты не определить.
install_datetime – может использоваться для защиты от эмуляции этих запросов. Хотя эту информацию можно при желании получить и довольно несложно.
lat, lon – собственно, координаты
location_status – включен ли GPS и разрешено ли программе пользоваться им в фоне. А если нет, будет штраф.
os_version – версия iOS
version_ext – не разбирался, возможно, версия самого приложения

Передача селфи

Начинается самое интересное. Сниффим траффик в момент передачи сделанного селфи. Итак, где же наши биометрические хеши и видео? А вот что происходит на самом деле:

Ну все понятно, да? Эта часть защищена чуть сильнее, в запросе еще фигурирует Bearer токен, по которому организована авторизация. Момент получения токена я не отсниффил, возможно, токен приходит при запросе на селфи. Уходит ровно одна фотка. Где же ваш биометрический хеш, господин Лысенко?

Запрос статуса и снятие карантина

Кроме передачи координат приложение еще регулярно делает запрос статуса. Кстати, возможно, что при запросе статуса и приходит запрос сделать селфи. Когда приложение перестало у меня запрашивать селфи, я ради интереса отсниффил запрос статуса:

Самое интересное в ответе сервера – это “quarantine: null”. Это означает, что карантин закончился. Но приложение вам об этом не говорит. Более того, в message они все еще обещают запрашивать селфи. И статус все равно активный. И координаты… ну конечно же приложение продолжает слать координаты устройства на сервер ДИТ! Поэтому удаляйте приложение сразу же по окончании карантина.

Что можно сделать

Из написанного очевидно, что можно написать скрипт, который будет эмулировать работу приложения и отсылать все нужные данные. Написание затрудняется тем, что в процессе тестирования можно легко схватить штраф. В первую очередь, нужно до конца отсниффить весь процесс регистрации, в том числе, в момент получения SMS-ки с кодом. Разобраться с Bearer аутентификацией и другими мелочами. Вполне возможно, что анализируют EXIF записи фоток. В которых есть точное время, а также могут быть координаты. Поэтому решением будет наделать много разных фоток заранее, а EXIF править уже на ходу перед отсылкой.

Ну и в заключении хочу сказать, что ни в коем случае не призываю кого-либо нарушать карантин, особенно при положительном тесте на коронавирус. Это лишь анализ системы и небольшой камушек в огород ДИТ, которые любят делать странные публичные заявления. Не болейте!

Источник

Как работает приложение «Социальный мониторинг»: ответы на вопросы

Приложение «Социальный мониторинг» создано для пациентов с COVID-19 и ОРВИ, которые лечатся в домашних условиях. Разработка позволяет москвичам, у которых болезнь протекает в легкой форме, оставаться дома в комфортных условиях и при этом информировать о добросовестном соблюдении карантина. Рассказываем, как приложение работает и в каких случаях нужно им пользоваться.

Как работает приложение?

При регистрации пользователь подтверждает номер телефона, делает фотографию и делится геолокацией (местонахождением). Это нужно для того, чтобы проверить, находится ли пользователь в той же локации, которую указал в согласии, выбирая лечение на дому.

Чтобы у пользователя не было возможности оставить смартфон дома и выйти на улицу без него, приложение в случайное время присылает пуш-уведомления с запросом дополнительного подтверждения — для этого потребуется сделать селфи.

Что будет, если пользователь нарушит правила?

Если пользователь покидает исходную геолокацию или не реагирует на уведомления, система предупреждает городские службы о возможном нарушении режима изоляции.

Кто разрабатывал приложение?

Какие данные пользователь передает сервису и как они защищены?

Личные данные, которые пользователь передает сервису, определены в согласии на получение медицинской помощи на дому и соблюдение режима изоляции. Пациент обязан подписать документ, если выбирает лечение на дому. Он указывает ФИО, адрес, по которому обязуется находиться на протяжении всего периода лечения, и номер мобильного телефона. Также пациент дает согласие на осуществление фотосъемки и предъявление документа, удостоверяющего личность.

Приложение при авторизации просит подтвердить номер телефона и сделать селфи, а в дальнейшем фиксирует геолокацию и запрашивает фотографию посредством пуш-уведомления.

Все данные, которые пользователь передает приложению, хранятся в защищенном виде на серверах Департамента информационных технологий. После окончания лечения эти данные уничтожаются.

Получается, что всех пациентов с коронавирусом обязывают пользоваться приложением. Насколько это законно?

Указом Мэра Москвы от 5 марта 2020 года № 12-УМ установлено, что пациенты с подтвержденной коронавирусной инфекцией, проходящие лечение на дому, обязаны использовать технологии электронного мониторинга геолокации, в том числе сервис «Социальный мониторинг».

На дому лечение проходят только те пациенты, у которых заболевание протекает в легкой форме. Они лично подписывают согласие о получении медицинской помощи на дому и соблюдении режима изоляции, в котором обязуются обеспечить регистрацию в приложении «Социальный мониторинг» и его дальнейшее использование.

Что будет, если человек откажется подписать согласие?

Подписание согласия — обязательное условие для прохождения лечения на дому. Пациента, не подписавшего этот документ, госпитализируют в медицинское учреждение.

Я не являюсь пациентом с COVID-19 и ОРВИ. Смогу ли я воспользоваться приложением?

Нет, приложение создано исключительно для пациентов с подтвержденным коронавирусом и ОРВИ. Использовать его для контроля местоположения остальных горожан не планируется. Более того, если человек не является больным COVID-19 и ОРВИ, он не сможет завершить регистрацию в приложении, поскольку его данные не подтвердятся в базе пациентов.

У меня нет своего смартфона, но я хочу лечиться на дому и обязан пользоваться «Социальным мониторингом». Как быть?

Тем, у кого нет возможности установить приложение на личный смартфон, на время лечения бесплатно предоставляется телефон с установленным приложением. Использовать его как обычный смартфон не получится — все функции кроме «Социального мониторинга» будут заблокированы. После окончания лечения пациент обязан вернуть технику городу для дезинфекции.

Что будет, если пациент откажется устанавливать приложение или перестанет им пользоваться?

Пациент, выбравший лечение на дому, обязан использовать приложение до полного выздоровления и получения отрицательного результата анализа на коронавирус. Если пациент подписал согласие, а затем отказался использовать приложение либо в какой-то момент перестал отвечать на пуш-уведомления, он будет привлечен к административной ответственности и принудительно госпитализирован в медицинское учреждение.

Используются ли подобные сервисы в мире? Доказали ли они свою эффективность?

Ранее ограничительные меры, доказавшие свою эффективность, были приняты в Китае. Если в России приложение будет использоваться только для больных коронавирусом и данные будут передаваться в защищенном виде только специалистами, то в Китае информация о заразившихся доступна практически всем. Например, китайское приложение Close Contact Detector позволяет пользователю проверить, находился ли он в тесном контакте с кем-то из зараженных. Кроме того, в приложении есть карта, показывающая здания, где проживают инфицированные пациенты.

В Польше власти запустили мобильное приложение «Домашний карантин». У людей появляется выбор — или внезапные визиты полиции для проверки соблюдения карантина, или установка приложения. Геолокация и современный алгоритм распознавания лиц позволяет определять, действительно ли человек соблюдает карантин в месте, указанном в форме местоположения.

Какую ответственность ввели за нарушения? Существует ли штраф? Если да, сколько придется заплатить?

За нарушение режима изоляции гражданину грозит штраф на сумму от 15 до 40 тысяч рублей, а также принудительная госпитализация в медицинское учреждение.

Источник

Как выглядит приложение социальный мониторинг

Врач даст вам на подпись документы — согласие на лечение дома или постановление санитарного врача о самоизоляции.

С этого момента в течение 24 часов вам необходимо установить приложение «Социальный мониторинг» и пройти регистрацию. Все контролируется автоматически. Поэтому, если через 24 часа вы не пройдете регистрацию, получите штраф (статья 3.18.1 КоАП города Москвы, часть 2).

Врач даст вам на подпись документы — согласие на лечение дома или постановление санитарного врача о самоизоляции.

С этого момента в течение 24 часов вам необходимо установить приложение «Социальный мониторинг» и пройти регистрацию. Все контролируется автоматически. Поэтому, если через 24 часа вы не пройдете регистрацию, получите штраф (статья 3.18.1 КоАП города Москвы, часть 2).

Введите в приложение свой номер телефона. После вы получите СМС-сообщение с кодом для подтверждения номера телефона, введите его в приложении.

При регистрации в приложении необходимо ввести тот номер телефона, который вы указали в согласии на получение медицинской помощи на дому или постановлении санитарного врача.

После регистрации отправьте первое фото.

Введите в приложение свой номер телефона. После вы получите СМС-сообщение с кодом для подтверждения номера телефона, введите его в приложении.

При регистрации в приложении необходимо ввести тот номер телефона, который вы указали в согласии на получение медицинской помощи на дому или постановлении санитарного врача.

После регистрации отправьте первое фото.

По нарушениям режима самоизоляции Постановление о штрафе может быть вынесено Главным контрольным управлением города Москвы или Объединением административно-технических инспекций города Москвы (ОАТИ).

Обжаловать Постановление можно онлайн.

Подача жалобы на Постановление о вынесении штрафа в электронном виде доступна только для зарегистрированных пользователей. Также обжаловать штраф вы можете в течение 10 дней с даты получения Постановления на почте, направив жалобу в письменном виде в районный суд по месту жительства, либо в орган, должностному лицу, которыми вынесено Постановление о штрафе.

Порядок обжалования указан в Постановлении об административном правонарушении. Если у вас имеются документы, подтверждающие отсутствие нарушений, просим приложить их к жалобе, например:

— закрытый больничный лист

— фотографии, сделанные с пометкой геолокации

Решение по жалобе будет доведено до вас в установленном порядке посредством почтового отправления, а также продублировано в Личном кабинете.

Источник

«Социальный мониторинг»: как пользоваться приложением

Зачем нужен «Социальный мониторинг»?

Приложение «Социальный мониторинг» разработано для пациентов с коронавирусной инфекцией, тех, кто живет вместе с ними, а также для пациентов с ОРВИ. Оно позволяет оставаться дома и информировать о добросовестном соблюдении карантина. Благодаря технологиям электронного мониторинга жители столицы могут быть уверенными в том, что пациенты с коронавирусом не нарушают режим изоляции и не подвергают риску заражения других горожан.

Как это работает?

При авторизации в приложении, установленном на смартфоне, пользователь должен подтвердить номер телефона. Для этого необходимо ввести код, который приходит в СМС-сообщении на номер телефона, указанный в согласии на получение медицинской помощи на дому или постановлении главного санитарного врача. После этого система проверяет, есть ли человек с таким номером телефона в реестре. Если информация подтверждается, пользователю открывается доступ к функциям приложения. Если человек не подписывал документы, пользоваться «Социальным мониторингом» он не сможет.

Для дальнейшей регистрации необходимо сделать фотографию на фронтальную камеру. После этого приложение будет автоматически отслеживать геолокацию пользователя и сравнивать ее с адресом, указанным в согласии или постановлении. Чтобы убедиться в том, что пользователь находится рядом с телефоном, приложение будет в случайное время направлять пользователю запрос на дополнительную идентификацию по фотографии.

Что будет, если пользователь нарушит карантин?

Если было подписано соответствующее согласие или постановление санитарного врача, а в дальнейшем человек отказался от использования сервиса, вовремя не отреагировал на запрос приложения или нарушил режим изоляции, он будет привлечен к административной ответственности. Гражданину грозит штраф в размере четырех тысяч рублей, а также принудительная госпитализация.

Как защищены данные?

Личные данные, которые пользователь передает сервису, определены в согласии на получение медицинской помощи на дому или постановлении главного санитарного врача. Там указываются ФИО, адрес, по которому человек будет находиться на протяжении всего периода карантина, и номер мобильного телефона. Он также дает согласие на осуществление фотосъемки и предъявление документа, удостоверяющего личность.

Приложение при авторизации просит подтвердить номер телефона и сделать селфи, а в дальнейшем фиксирует геолокацию и в случайное время запрашивает фотографию.

Все данные, которые пользователь передает приложению, хранятся на серверах Департамента информационных технологий в защищенном виде. После завершения карантина они удаляются в соответствии с действующим законодательством.

Обязан ли пациент пользоваться приложением?

Указом Мэра Москвы от 5 марта 2020 года № 12-УМ установлено, что пациенты с подтвержденной коронавирусной инфекцией, проходящие лечение на дому, те, кто живут вместе с ними, а также пациенты с ОРВИ обязаны использовать технологии электронного мониторинга геолокации, в том числе сервис «Социальный мониторинг». Это необходимо, чтобы человек мог оставаться дома и информировать о соблюдении карантинного режима. «Социальный мониторинг» позволяет избежать нарушения режима изоляции пациентами с коронавирусом, а значит и дальнейшего распространения инфекции.

Пациенты с COVID-19, те, кто живет вместе с ними, а также пациенты с ОРВИ лично подписывают согласие о получении медицинской помощи на дому или постановление главного санитарного врача. С этого момента в течение 24 часов необходимо зарегистрироваться в приложении «Социальный мониторинг».

А если пациент не подпишет согласие или постановление?

Подписание согласия на получение медицинской помощи в амбулаторных условиях — обязательное условие для прохождения лечения коронавирусной инфекции на дому. Постановление главного санитарного врача также подписывают пациенты с симптомами ОРВИ и те, кто живет вместе с инфицированными COVID-19. Не подписавших этот документ госпитализируют.

Можно ли пользоваться приложением, если не подтвержден COVID-19 или ОРВИ?

Нет, приложение создано исключительно для пациентов с подтвержденным диагнозом «коронавирусная инфекция», тех, кто живет вместе с ними, а также для пациентов с ОРВИ. Использовать его для контроля местоположения остальных горожан не планируется.

Как быть, если нет возможности установить приложение на личный телефон?

Тем, у кого нет возможности установить приложение на личный смартфон, на время лечения бесплатно предоставляется телефон с установленным приложением. Использовать его как обычный смартфон не получится — все функции, кроме «Социального мониторинга», будут заблокированы. После окончания лечения пациент обязан вернуть технику.

Есть ли мировая практика использования таких сервисов?

Ранее ограничительные меры, доказавшие свою эффективность, были приняты в Китае. Если в России приложение используется только для больных коронавирусом и данные будут передаваться в защищенном виде только специалистам, то в Китае информация о заразившихся доступна практически всем. Например, китайское приложение Close Contact Detector позволяет пользователю проверить, находился ли он в тесном контакте с кем-то из зараженных. Кроме того, в приложении есть карта, показывающая здания, где проживают инфицированные пациенты.

В Польше власти запустили мобильное приложение «Домашний карантин». У людей появляется выбор — или внезапные визиты полиции для проверки соблюдения карантина, или установка приложения. Геолокация и современный алгоритм распознавания лиц позволяют определять, действительно ли человек соблюдает карантин в месте, указанном в форме местоположения.

Источник

Как мне удалось избежать незаконного штрафа после установки приложения «Социальный мониторинг»

Начну с того, что я бухгалтер. Эта профессия накладывает определённый отпечаток на характер и привычки. Ты становишься дотошным, изучаешь законодательство, так как сталкиваешься с многочисленными проверками и должен убедить проверяющих, что ты прав, что твои действия не нанесли ущерба ни предприятию, ни бюджету. Ты всю жизнь учишься отстаивать свои интересы, стараясь при этом быть законопослушным гражданином. Именно эти качества помогли мне избежать неоправданные штрафы.

Как только началась пандемия, мы съехали на дачу, во избежание лишних контактов. Но мою врождённую тягу к путешествиям не может остановить ничто. Даже пандемия. Поэтому вопрос, вакцинироваться или нет, перед нами даже не стоял. Только вакцинация открывает перед нами мир. Мы ездили по стране, выбрались в Европу, а далее изоляция, карантин на даче.

И вот задумано новое путешествие за рубеж. С экранов телевизора вещают, что прививка действует полгода, далее пройдите ревакцинацию. У нас впереди новая поездка, мы законопослушны, поэтому нужно ревакцинироваться, защитить себя.

Карантин

Через восемь месяцев после прививки Спутник, мы ревакцинируемся Спутником Лайт. Записались на ревакцинацию на 22 октября. Пришлось приехать в Москву на пару часов, а потом вновь на дачу. Вновь изоляция, вновь только телефонное общение. 29 октября я почувствовала недомогание. Списала на пониженное давление. Далее недомогание почувствовал супруг. Ничего страшного, слабость, но он решил показаться врачу. Первого ноября поехали в клинику. Мне было даже стыдно: ни температуры, ни кашля, и я отвлекаю врачей от тех, кто действительно болен. Взяли ПЦР тест, нам дали какие-то советы. Я их даже не воспринимала, я же здоровый человек! Слабость это ерунда, пройдет. А второго числа пришла смс: тест положительный, у нас обоих.

Как я установила приложение «Социальный мониторинг»

7 ноября пришло смс о необходимости установления на телефон приложения «Социальный мониторинг». Честно говоря, увидела это смс только 8 ноября, когда получила повторное сообщение. Я законопослушна, сразу же устанавливаю. Внутренне переживаю, что не увидела первую смс. Залезаю в интернет, чтобы понять, что это за программа и, оказывается, это программа слежения — в случае нарушения карантина на меня будут налагаться штрафы. Размер за каждое нарушение 4000 рублей.

Программа у меня загружалась несколько дней. 9 ноября позвонила девочка, не представилась и начала со мной разговор в требовательном тоне: «Вы обязаны установить программу, вы подписаны на установку программы». Стоп, стоп, стоп! Я спрашиваю: «Почему вы смеете разговаривать с больным человеком в таком тоне?» Слышу потрясающий ответ: «Я разговариваю с вами по инструкции». Сбить спесь умудрённой жизнью женщине с девочки-грубиянки не составляет труда. На логичный вопрос, почему программа не грузится, несмотря на то, что я её установила, установить можно только после получения цифрового кода, девочка не может дать вразумительного ответа.

Поэтому я, перехватив инициативу, начинаю задавать интересующие меня вопросы: «Где я ставила свою подпись?» Оказывается, что врач дезинформирует, когда предлагает поставить подпись за полученные лекарства. Мы подписываемся за то, что установим программу и будем соблюдать карантин. Ещё раз напоминаю, я бухгалтер, а следовательно прекрасно осведомлена, что любое соглашение составляется в двух экземплярах. Одно из них должно было бы быть выдано мне. А теперь я, оказывается, даже не в курсе того, под чем подписалась, так как находилась в шоковом состоянии. Более того, мне было чётко озвучено, что я ставлю подпись за полученные лекарства. Документ составлен в одном экземпляре и копии у меня нет. Итак, обман!

Сам факт того, что тебя обманули, вызывает недоверие и отторжение. Плюс «разговор по инструкции» тоже не добавляет положительных эмоций, но я законопослушный человек. Я не хочу никаких конфликтов и когда наконец-то приложение загрузилось, я фотографирую себя, отправляю свою геопозицию и ни под каким видом не собираюсь нарушать карантин.

Что пошло не так

Первая проблема возникает 11 ноября. Меня перестают опознавать. Моё фото не проходит идентификацию. Я фотографируюсь в течение часа, отправляю фото, а программа пишет, что фотография не прошла проверку.Я начинаю нервничать, если бы я нарушила режим и получила штраф, это было бы ожидаемо. Но я дома, я делаю всё что мне предписано. Но фотография не прошла проверку. Звоню по всем указанным телефонам, везде боты, дозвониться невозможно. И тут вижу, что мне приходят смс о том, что «Ваша фотография пр…» Но программа продолжает выдавать, что фотография не прошла проверку. Фотографирую данные сообщения и пишу письмо в Социальный мониторинг, прикладывая к нему фото.

Мое обращение регистрируют и 13 ноября приходит ответ: «В указанную дату фотографии, отправленные на запрос идентификации, временно могли проходить проверку дольше, чем обычно. Просим Вас не волноваться, проверка всех фотографий, отправленных на запрос идентификации, будет осуществлена». 15 ноября новый сбой в работе программы. Идет расхождение между идентификацией, которую запрашивает программа, и смс-оповещением. Программа запросила идентификацию в 11.15, идентификация пройдена в 11.16, смс-оповещение пришло в 12.10. Программа идентификацию не запрашивает.

Так как данные нестыковки позволяют выставлять штрафы, вновь направляю письмо в социальный мониторинг с требованием наладить программу. Ответ: «Смс с запросом идентификации и получением кода регистрации временно могут приходить с небольшой задержкой. При ответе на запрос идентификации рекомендуем ориентироваться на время поступления пуш-уведомления».

Но я же дотошная, изучила, что нужно сделать для того, чтобы вовремя идентифицироваться в программе — данный вопрос прописан в пункте «Отвечаем на вопросы», уведомления на запросы идентификации приходят тихо/беззвучно. Чётко сказано, что громкость смс можно настроить в меню «Настройки», что мною и сделано. Но нигде не сказано, как настроить громкость пуш-уведомления. Данный запрос вновь отправляю в службу социального мониторинга.

Итоги

Ответ службы соцмониторинга: «Воспроизведение звукового сигнала, а также его громкость зависят исключительно от выставленных настроек вашего смартфона. Если вы не слышите звук уведомлений, мы рекомендуем перейти в настройки звука вашего устройства и проверить выключены ли режимы Без звука и Не беспокоить. Понимаю, что это отписка и не реагирую. Как оказалось, правильно. Больше служба социального мониторинга меня не побеспокоила ни разу, идентификация не запрашивалась. 24 ноября мы посетили врача и нам присвоили статус переболевшего.

Болезнь перенесли очень легко, уверена, что это произошло благодаря своевременной вакцинации. Очень надеюсь, что мой опыт пригодится кому-нибудь для избежания неоправданных штрафов.

Читатели пишут. Здесь делятся опытом и рассказывают свои финансовые истории

Источник