Aplikace Tečka slouží uživateli k tomu, aby se prokázal svou bezinfekčností, a to na místech, kde se to vyžaduje. Jenže mnozí zjistili, že ji mohou zneužít ve svůj prospěch a doložit, že jsou zdraví, přestože nejde o jejich účet. Informuje o tom CNN Prima NEWS.
„Aplikace Tečka v současnosti umí uchovávat několik různých certifikátů ve formě QR kódů, kterými Češi mohou prokazovat svou bezinfekčnost. Především jde o informace o provedeném (a ukončeném) očkování proti covidu, prodělané nemoci a provedeném antigenním nebo PCR testu,“ píše CNN Prima NEWS.
Pokud si vytvoříte vlastní certifikát a svítí zeleně, znamená to, že vše je v pořádku a certifikát je platný. Pokud má ale barvu červenou, něco je v nepořádku. A tento malý problém lidé umí obejít. Podle některých názorů hlavně proto, že neexistuje dvojí kontrola.
Hygienici například používají sesterskou aplikaci čTečka, do které naopak váš certifikát jednou z několika možností naskenují, aby zjistili, zda je vše v pořádku. Opět se v takovém případě orientují především pomocí zelené a červené barvy vašeho certifikátu.
Poté se jim ukážou doprovodné informace, jako je například jméno a příjmení skenované osoby či její datum narození. To jsou údaje, jež aplikace čTečka ukládat nemůže.
Problém je zcela jasný
Přitom podle mnoha názorů je problém přímo v aplikaci Tečka. Lze do ní totiž zaregistrovat i vícero lidí s jejich certifikátem, a to buďto pomocí portálu e-identita.cz, jednorázového SMS kódu či právě naskenováním cizího QR kódu (ať už z papírového certifikátu, nebo z Tečky na jiném mobilu).
„V praxi tak stačí, aby například organizátor nějaké větší akce skenoval přes zmíněnou funkci QR kódy aplikací Tečka místo čTečka,“ vysvětluje CNN Prima NEWS. Lidé tak v mobilu mohou mít více certifikátů a ověřit se klidně cizím, protože na to ve finále nikdo nemůže přijít.
Mnoho lidí své QR kódy z certifikátu, asi si neuvědomovali, jak nezodpovědné to je, nahráli přímo na internet. Proto například i redakce CNN Prima NEWS neměla problém to na několika z nich vyzkoušet. V zásobě tak najednou měla několik platných certifikátů.
Pokud se totiž lidé někde prokazují tímto certifikátem, po naskenování se ve většině případů už nikdo nezajímá o to, zda je kód totožný se základními údaji člověka, který jim ho předložil.
I proto někteří odborníci volají po tom, aby u aplikace bylo dvoufázové ověření. Což znamená, že po naskenování by dotyčnému musela přijít i smska s vygenerovaným kódem, čímž by se následně měl prokázat. Tím pádem by muselo dojít i k vědomému souhlasu. Podobné to je například u bankovních aplikací.
S dvojitým ověřením by někdo mohl mít problém
S tím by ale mohli mít problém senioři či děti, u kterých je používání telefonu obtížnější. „Zde ale nastává problém ve chvíli, kdy má tato konkrétní funkce Tečky posloužit k původnímu účelu – skenování papírových nebo digitálních certifikátů u osob, které aplikaci nevlastní, popř. nemají mobil,“ poukazuje na problém CNN Prima NEWS.
„Jsem přesvědčen, že to šlo udělat dvouúrovňově. Pro běžné užití v hospodě stačí vědět, jestli certifikát platí, nebo neplatí. Podrobnosti mohou být už provozovatelům (tzn. lidem se čTečkou) jedno. Ale chápu případy, kdy to chceme zkoumat více do detailu. Například u celníků, kteří kontrolují i jméno. Dvouúrovňově to ale udělat šlo,“ řekl redakci pirátský poslanec a IT expert Ondřej Profant.
Již dříve Národní agentura pro komunikační a informační technologie (NAKIT) veřejnost upozorňovala na to, že aplikace kontroluje platnost certifikátu, nikoliv však totožnost dotyčného člověka. Ohledně toho, zda agentura přemýšlí nad tím, že by zavedla například dvoufázovou kontrolu, neposkytla zatím žádné vyjádření.
Autor: Ivan Glaser