Proponha uma correção, faça uma sugestão
COVID-19: Código da app STAYAWAY já está no Github
Já deve falar muito pouco para que a app STAYAWAY esteja disponível para todos. Esta app irá ajudar a combater a COVID-19 no nosso país e, como é natural, levantou algumas questões no que diz respeito à privacidade.
Recentemente o INESCTEC disponibilizou todo o código-fonte no Github para quer quiser analisar e até melhorar.
COVID-19: Como irá funcionar a app STAYAWAY?
A utilização da app é voluntária e não intrusiva. A equipa responsável pela app disponibilizou agora o código-fonte da app no Github. A nova app de tracing de coronavírus já está na fase final de testes. Durante 10 dias a app irá ser testada para posteriormente ser disponibilizada ao público em geral.
A app STAYAWAY deteta a proximidade física entre smartphones e informa os utilizadores que estiveram no mesmo espaço de alguém infetado nos últimos 14 dias com o novo coronavírus.
Cada telemóvel difunde na sua proximidade identificadores anónimos e armazena localmente os identificadores difundidos pelos telemóveis com quem se cruze. Ainda que absolutamente desprovida de uma relação com os telemóveis que a gerou e, consequentemente, com os utilizadores desses telemóveis, esta informação permitirá ao próprio detetar a sua proximidade com uma pessoa infetada.
Uma pessoa confirmada como infetada com COVID-19 poderá publicar online, com a legitimação das autoridades de saúde, os seus identificadores anónimos que partilhou nos últimos 14 dias. Com esta informação pública, a aplicação de cada pessoa pode facilmente avaliar autonomamente se nos dias anteriores esteve próximo da pessoa infetada.
Este artigo tem mais de um ano
Loading ...
Para quem quiser melhorar introduzindo um malware ou porta traseira na app. Agora é um não instalar forçado.
É preciso que eles aceitem a alteração, e fica lá para todo o mundo ver
Tens de meter mais tabaco nisso, senão depois dizes destas coisas sem dares conta.
Sabes pelo menos como funciona a gestão de versões Git?
Quem pouco percebe do assunto está sempre sujeito a passar mal quando a vontade é só mandar bitaites para o ar.
Cumps.
Percebo pouco se calhar percebo mais que tu!! Não existe nenhum site seguro e à prova de hackers e sei que eles podem mudar o código de uma app da mesma maneira que podem invadir os vossos smartphones através do bluetooth. Pôr o código online foi o maior erro pois foi o mesmo que dar as chaves das casas.
Não te envergonhes publicamente. O código não pode ser mudado sem o consentimento do proprietário, nem um bit sequer, porque o hash seria alterado, e o proprietário do mesmo denunciava isso mesmo.
Vai comentar mais daquilo que percebes, venda de telemóveis, relógios de contar calorias e batimentos cardíacos, tretas dessas.
Penso que seja troll. Ninguém pode ser assim tão ignorante. Espero.
Da sempre para sacar o código, meter malware, compilar e fazer distribuição do apk (Android) por outros meios. Com um bocado de jeito até por meios oficiais (play store)…
Mas este Samuel não sabe do que fala, não tem como mudar o código da app oficial. Só mesmo criando instâncias novas da mesma.
Vai dizer is aos donos do CCleaner.
@Samuel MG
o CCleaner é open source por acaso???
vai aprender o que isso significa e o que é comparar um hash…
…em vez de comparar um hash, que tal comprar o “hash”?
Quando um taxista diz que sabe mais que engenheiros de software…
Tens razão. Eu até conheço um rapaz que ao sacar código do GitHub acabou por descarregar um senegalês e foi sodomizado durante uma semana. É preciso cuidado com o GitHub.
Donkey troll detected!
STAYAWAY from @SamuelMG
Donkey troll o tanas e aqui está a prova do que estava a dizer:
https://visao.sapo.pt/exameinformatica/noticias-ei/software/2020-07-30-identificado-problema-aplicacao-stayaway-covid/
E mais problemas vão aparecer. A app pode ter hash mas se usa o servidor do estado que pertence a DGS o problema maior ainda está para surgir.
Donkey Ci
falhote isto não foi?
“Uma das vantagens de um projeto ser desenvolvido em modelo de código-aberto é poder contar com contribuições da comunidade de programadores – na identificação de problemas, como é o caso relatado acima, na correção de vulnerabilidades ou na criação de novas funcionalidades, por exemplo. No caso da plataforma GitHub, estes contributos são feitos através dos chamados Pull Requests – que são pedidos de integração no código-fonte original.”
Ao ler a notícia do link, várias coisas surgiram na minha cabeça.
Primeiro, obrigado pelo link. É de interessante leitura de facto e fiquei curioso de ir investigar esse issue.
Segundo, troll: “aquele que deliberadamente comenta conteúdos na internet… (…) …ou por exemplo com links descontextualizados para tentar comprovar um ponto de vista enexplicável ou fora da realidade discutida”.
Apesar do bom conteúdo, onde é que este link prova alguma coisa do assunto discutido acima (hash… controlo de versão). A não ser que você ache possível minar o código com a colocação de uma issue no github. Se é isso é só Donkey..sem troll.
Jovem, les-te a notícia ?
Deste-te ao trabalho de ver o código e olhar para o issue aberto no Github do projeto ?
Já ouviste falar em TDD ? É isso que a comunidade critica.
Vamos estudar.
Esquece rapaz, não tas a perceber o artigo que publicaste porque nota-se claramente que não és programador e não fazes a mínima ideia do que eles estão a falar. Não publiques links quando não percebes o conteúdo e não tentes falar de assuntos que está visto que não é a tua praia.
Não sou programador mas expus as minhas duvidas enquanto a segurança da app.
@Samuel MG
tu não expuseste duvidas…
“Pôr o código online foi o maior erro pois foi o mesmo que dar as chaves das casas.”
isto não é uma duvida, isto é uma afirmação.
Meter o codigo online é permitir o mundo ver o quão seguro é a fechadura da casa, mais pessoas a ver o codigo e mais pessoas a apontar defeitos para serem resolvidos o mais rapido possivel, ninguem esta a dar a chave de casa a ninguem…
Podem parar de bater no ceguinho. Se calhar não me expliquei como deve ser quando referi o código, estava a referir-me ao código do repositório.
Mais precisamente isto:
fct.inesctec.stayaway.tracing.internal.networking
ops falta o “package”
Afinal parece que é segura até ver. Tentei deitar a mão ao package e não consegui. Duvidas infundadas.
Samuel, diz-me sff que sabes o que são packages node.
Isto de dizer as coisas sem se perceber é chato.
Mas nós compreendemos, o confinamento, baralhou a cabeça a muita gente.
Um gerente de pacotes que permite escrever diretamente no servidor!! Certo?
Peço desculpa se houve ofendidos mas o estúpido do meu irmão de 12 anos apanhou o meu tablet. 🙁
Esta App é basicamente igualzinho ao SwissCovid (https://github.com/DP-3T/dp3t-app-android-ch) que já foi testada em Maio e corre desde Junho. Porquê tanto tempo para disponibilizá-lo ao público?
Porque em Portugal 😉 quando alguém tenta fazer algo 🙂 existe sempre os do Contra que não fazem nada de construtivo mas (fico por aqui 😉 )……..
Só que na Suíça ninguém a quer usar, a não ser os distraídos.
A adesão após a primeira semana da release foi 20% da população
Visualmente pode parecer igual, mas o codigo nao tem nada a haver
Interessante será confirmar se a app portuguesa funciona bem com smartphones da Huawei. A app alemã não funcionava correctamente devido à gestão de bateria que a Huawei imlementa nos seus smartphones. Foi recentemente corrigido e a correcção está disponível no github: https://github.com/corona-warn-app
A resposta é simples. Se acompanhou as notícias, perceberia que existe um processo burocrático e de validação levadas a cabo por várias autoridades, nomeadamente a Comissão Nacional de Proteção de Dados e Centro Nacional de Cibersegurança.
https ://www.noticiasaominuto.com/tech/1503715/centro-de-ciberseguranca-vai-analisar-app-de-rastreamento-covid-19
https ://www.sabado.pt/ciencia—saude/detalhe/projeto-da-app-anti-covid-sera-revisto-apos-parecer-da-cnpd
E muitas outras…
Quando for ao hipermercado vou ligar o temporizador do telemóvel e juntar-me à molhada que está a 50cm uns dos outros, literalmente borrifando-se para os avisos para manter o distanciamento. Quando a geringonça começar a apitar vou olhar para todos os lados… vai parecer o Big Brother.
Um tlm com a APP regista identificadores de todos os tlm ou só com aqueles que tem também a APP? De sistemas percebo o básico ou menos que o básico.
Em relação ao telemóvel sei que que a celula tem o meu registo de IMEI tal como um router tem o MAC Address de todos os dispositivos ligados. Certamente que os dados (identificadores) estao referenciados atraves do IMEI de cada dispositivo e jamais a APP no dispositivo pode ter acesso direto a esse IMEI que julgo deve estar protegido pela propria rede da operadora.
Estou so a tentar perceber como são criados esses identificadores anônimos…
Ja percebi que é atraves de Bluetooth Low Energy. Isto é o que faz não ir ver as coisas … Agora é possivel identificar um telemóvel atraves de Bluetooth ou irao cruzar e tratar os dados atraves dos dados da operadora nos servidores?
os fabricantes tem certamente os dados cruzados do imei e do mac do BT, mas não sera por ai.
Um identificador anónimo pode ser qualquer coisa. Muitas vezes é um número aleatório de 128 bits criado assim que seja necessário, tornando praticamente impossível que duas aplicações em telemóveis diferentes gerem o mesmo número.
Este número não precisa de relação nenhuma com IMEI, MAC address, etc. Pelo que foi divulgado, não existe trocas de SMS nem comunicação direta com os telemóveis a serem notificados. O que acontece é que o telemóvel de um infetado vai publicar o seu identificador (aleatório e anónimo) num servidor. Todos os outros vão buscar periodicamente a lista de infetados e verificar se alguma vez se cruzaram com eles. Assim, tudo o que sei foi que me cruzei com um infetado a que corresponde um certo identificador (aleatório e anónimo). A única forma de quebrar a anonimidade aqui seria comprometendo todos estes telemóveis (de pessoas com quem o infetado teve contacto) para saber a que horas foi o contacto, confirmar que o infetado foi sempre o mesmo e tentar perceber que pessoa teve em todos esses locais a essas horas (e assumindo que podemos confiar nas palavras de todas estas pessoas que dizem ter estado no sítio X à hora Y).
Aparentemente esta situação vai, de facto, deixar umas pedrinhas positivas no meio do seu rasto devastador.
Esta publicação é exemplo disso.
Talvez vejamos finalmente “Dinheiro Público, Código Público”.