Štát si hackol vlastnú aplikáciu pre virtuálnu pokladnicu, na Androide je potrebná reinštalácia

Značky: SlovenskoAndroidiOS

DSL.sk, 11.3.2022

Finančná správa uskutočnila zmeny vo svojej mobilnej aplikácii Pokladnica pre virtuálnu registračnú pokladnicu pre operačný systém Android, pričom podľa povahy týchto zmien ich uskutočnila zrejme bez plnej spolupráce pôvodných tvorcov aplikácie.

Finančná správa informuje o výrazných zmenách aplikácie aktuálne v tomto oznámení.

V prípade Androidu si užívatelia musia odinštalovať doterajšiu verziu a nainštalovať novú verziu, ktorá je zatiaľ dostupná len z webu finančnej správy a nie v Google Play. Pre operačný systém iOS nová funkčná verzia k dispozícii nebude.

Doterajšie verzie budú funkčné len do 16. marca, keď platnosť certifikátu používaného zrejme aj na zabezpečenie SSL / TLS komunikácie aplikácie s API servermi vyprší 17. marca a finančná správa certifikát vymení 16. marca. Užívatelia na Androide si musia do tohto termínu nainštalovať novú verziu, pre užívateľov na iOS už nebude funkčná aplikácia dostupná. Okrem aplikácie pre Android bude naďalej virtuálna pokladnica dostupná aj v podobe webovej aplikácie.

Podľa oznámenia finančnej správy sú dôvodom týchto zmien a postupu nedoriešené zmluvné vzťahy s dodáveľom aplikácie v súvislosti s neprimeranými vysokými nákladmi na prevádzku. V oznámení avizuje, že k aktualizácii aplikácie tak pristúpila vlastnými kapacitami.

Na to ukazuje aj naša analýza inštalačných APK súborov aplikácie Pokladnica pre Android, keď zmeny boli podľa svojej povahy uskutočnené zrejme bez spolupráce pôvodných tvorcov. APK novej verzie je takmer identické a má rovnaký samotný kód aplikácie. V APK doterajšej verzie sa nachádzali dva súbory s dvomi certifikátmi pre domény finančnej správy, jeden starší s platnosťou končiacou 16. marca 2020 a jeden aktuálny platný do 17. marca 2022. V novej verzii APK bol starší certifikát vymenený za nový platný do 17. marca 2023.

Dá sa tak predpokladať, že aplikácia pri SSL / TLS komunikácii s API servermi nekontroluje len platnosť a dôveryhodnosť certifikátu ale porovnáva ho aj s certifikátmi zahrnutými v APK.

Druhou podstatnou zmenou nového APK je jeho podpísanie novým privátnym kľúčom. Android aplikácie vývojári podpisujú privátnym kľúčom, pričom Android následne dovoľuje inštalovať len aktualizácie aplikácie podpísané rovnakým kľúčom a teda od rovnakého vývojára ako pôvodná aplikácia. Keďže pre novú verziu aplikácie Pokladnica bol použitý iný kľúč, užívatelia si ju nemôžu nainštalovať ako aktualizáciu doterajšej aplikácie, zatiaľ si ju musia sťahovať zo stránok finančnej správy a pred nainštalovaním odinštalovať doterajšiu verziu.

Keďže finančná správa zvolila takýto postup komplikovanejší aj pre užívateľov a okrem iného vyžadujúci informovanie všetkých užívateľov, evidentne nemala prístup ku kľúču používanému pre podpisovanie doterajších verzií.

Stanovisko finančnej správy zisťujeme.

Užívatelia môžu nájsť odkaz na stiahnutie nového inštalačného súboru aplikácie pre Android aj návod inštalácie pre menej zdatných užívateľov na tejto stránke.

Finančná správa podľa oznámenia do budúcnosti pracuje na vývoji novej aplikácie pre všetky platformy tak, aby jej využívanie nebolo závislé od externých subjektov. Kedy by mala byť sprístupnená nová aplikácia oznámenie neinformuje.




Najnovšie články:



Diskusia:

/******/ Od: peterse. | Pridané: 11.3.2022 12:16 kool. Odpovedať Známka: 10.0 Hodnotiť:

Re: /******/ Od: martinccc | Pridané: 11.3.2022 14:03 Slovensko.sk je digitalna sekta Odpovedať Známka: 5.7 Hodnotiť:

Re: /******/ Od: Pravy_Bozzz | Pridané: 11.3.2022 14:09 Tak slovensko.digital sa tiez vyfarbilo. Remisovej podivne vyberove konania schvalili vsetkymi desiatimi. Odpovedať Známka: 4.7 Hodnotiť:

Re: /******/ Od: MAJAK - neregistrovany original | Pridané: 11.3.2022 17:04 nejde mi appka! za čo ja platím ty...?! Odpovedať Známka: 10.0 Hodnotiť:

zaujimave Od: Limak69 | Pridané: 11.3.2022 12:25 nema niekto link na zmluvu na obstaranie a prevadzku povodnej aplikacie eKasa? By ma zaujimalo, v com bol hacik. Odpovedať Známka: 8.9 Hodnotiť:

Re: zaujimave Od: sarusian | Pridané: 11.3.2022 13:34 predpokladam, ze hacik bol v cene Odpovedať Známka: 10.0 Hodnotiť:

ultraradikalny objasňovačizmus Od: syntaxterrorXXX,. X | Pridané: 11.3.2022 13:38 Evidentne v tom, že nevedia vyjednať ani prd priekazne ani z pozície výkonnej moci. Odpovedať Známka: -1.2 Hodnotiť:

Re: ultraradikalny objasňovačizmus Od: asistentka | Pridané: 11.3.2022 15:07 Prosim ta nevyjadruj sa takto skaredo o nasej vlade. Usilovne pracuju na tom, aby sme sa sa mali lepsie, najma im zalezi na tom, aby sme ziskali ruske rakety uplne zdarma a s dopravnym v cene. Dokonca ani skolit nikoho nebude treba, pretoze vybuchnu uplne same. Odpovedať Známka: 1.8 Hodnotiť:

API ... Od reg.: Uhlik | Pridané: 11.3.2022 12:47 Nech zverejnia API a budú mať toľko aplikácií, že ani nebudú musieť vymýšľať vlastnú. Odpovedať Známka: 9.0 Hodnotiť:

Re: API ... Od: resta | Pridané: 11.3.2022 15:17 API sice zverejnene nie je ale vies sa k nemu dostat... aspon ti sikovnejsi. Vsak si pozri kolko apiek uz funguje cez ich API. Odpovedať Známka: 6.9 Hodnotiť:

Re: API ... Od: Draagon | Pridané: 11.3.2022 16:39 Tak schvalne poradte kolko apiek to je a ake. Lebo nejako ich nejde najst. Odpovedať Známka: 8.6 Hodnotiť:

Re: API ... Od: Resta | Pridané: 12.3.2022 7:44 Appky nie su kvoli tomu lebo stat zakazal pouzivat VRP inak ako cez ich vlastnu appku. Asi dva uctovne softy to mali aj implemetovane a potom userom posielal vyhrazne listy ked nato prisli, ze takto sa vobec pouziva. Odpovedať Známka: 10.0 Hodnotiť:

Re: API ... Od: kloktam klokany kloakou | Pridané: 15.3.2022 10:37 Ak sa k nim nevieš dostať sám, tak by som si na tvojom mieste radšej neodmontovovával tie malé kolečká na zadnom kolese bicykla, lebo by si si vzápätí rozjebal držku. Odpovedať Známka: -3.3 Hodnotiť:

Keď sa minulosť snúby s budúcnosťou. Od: Bežný užívateľ | Pridané: 11.3.2022 12:48 Keď sa klikne na odkaz na príslušnú stránku, tak v hneď prvej stati - registračná pokladnica v poslednom odseku sa možno dočítať toto: Využívať aplikáciu prostredníctvom operačného systému iOS nebude od 17. marca 2002 možné. Ide o dilatáciu času v blízkosti čiernej diery. Odpovedať Známka: 9.1 Hodnotiť:

ultraradikalny empaticizmus Od: syntaxterrorXXX,. X | Pridané: 11.3.2022 12:49 A hackeri priekazne nebudú mať čo žrať! Odpovedať Známka: 1.4 Hodnotiť:

zakompilovane certifikaty Od: OriginalnyKoumak | Pridané: 11.3.2022 13:58 Povedal by som, ze je akousi oblubou istych ludi (inak povedane uchylnost) zakompilovat do APK certifikat a ten porovnavat s tym, ktory poskytuje server. Tiez som nejake roky supportoval rovnakym sposobom APK, kde sa menil hlavne stale vnutorny certifikat. Jedina vyhoda v mojom pripade bola, ze som mal k dispozicii aj povodny podpisovy, takze APPka sa vedela aktualizovat bez nutnosti uplneho odinstalovania. Myslim, ze dovod bol aj v kompatibilite, lebo taketo riesenie dokazalo bezat aj na starych Androidoch (ironiou na najnovsom nesla), kdezto po vydani noveho riesenia (bez zakomponovanych certov), uz APPka dokazala bezat iba na novsich Androidoch. Odpovedať Známka: 5.0 Hodnotiť:

Re: zakompilovane certifikaty Od: [Jooky] | Pridané: 14.3.2022 2:31 Vola sa to certificate pinning a nie je to uchylnost. Ak je v appke cert, tak bude komunikovat len so spravnym servrom. Ked v appke nie je, tak kombinaciou doinstalovaneho, alebo zneuziteho CA + proxy sa da donutit aplikacia pouzivat konkretny certifikat. Vdaka tomu potom ide komunikaciu desifrovat a monitorovat ... google, facebook, banky a podobne veci maju vzdy cert v appke / v browseri, aby bolo na 100% iste, ze nedojde k desifrovaniu dat. Odpovedať Známka: 10.0 Hodnotiť:

Nemam slov. Od: Jullo | Pridané: 11.3.2022 18:20 Toto ma na starost vasilisa premudra? Ci to spada pod igora? Budu za to padat hlavy, alebo nepustia zapustene korene? Alebo bude vyhovorka lebo fico? Keby aspon ten web upravili pre mobil, mozno by netrebalo tu amatersku apku... Odpovedať Známka: -0.8 Hodnotiť:

Re: Nemam slov. Od reg.: MackoPu1 | Pridané: 11.3.2022 20:59 Este ze to zdedila po pelem. Osobne nechapem ako moze firma vydrbavat s financnou spravou. Ked uz tito nevedia dat firmu do pozoru tak tu je raj podnikat. Odpovedať Známka: 3.3 Hodnotiť:

Re: Nemam slov. Od: Draagon | Pridané: 11.3.2022 21:29 Alebo je vsetko inak, ale nejaku rozpravku si musia vymysliet. Cele obkecanie je jedna velka blbost a ukazovat na ineho este vacsia. Vedeli o probleme? Vedeli. Vedeli, ze vyprsi certikifat? Asi vedeli. Najskor sa na cele pozabudlo a zrazu ej sakra sa niekto zobudil a zacal zvonit na poplach. Vsak tyka sa to obmedzeneho poctu ludi, a im hodili nejaku navnadu a zozeru to aj s navijakom. Uz vobec tvrdenie, ze instalacia apk manualne je bezna vec a bezpecna je ..... Som zvedavy ak sa nieco stane, kto ze bude zodpovedny. Odpoved bude. Nemali ste si instalovat aplikaciu z neznameho zdroja? No comment Odpovedať Známka: 7.8 Hodnotiť:

Re: Nemam slov. Od reg.: MackoPu1 | Pridané: 11.3.2022 22:24 Zjavne nie je dost pravnikov aby sa do basy za kuciaka dostal co i len kocner, ale na zmluvy kde sa da odrbat stat mame odbornikov ze sem chodia na staze aj mafiani z talianska. Odpovedať Známka: 2.0 Hodnotiť:

gfgf fdg Od: dsadas | Pridané: 11.3.2022 19:01 Pracoval som dlho v agenture, ktora robila appky na zakazku. A nepametam si ziadneho klienta, ktory by spolu so zakazkou nechcel aj kluce na podpisovanie aplikacie. A aj ked o nich neziadal, tak sme mu ich dali. V state musia robit riadni babraci, ak prevzali a cez svoj Google Play ucet zverejnili aplikaciu, ku ktorej nemaju podpisove kluce. Amaterizmus. Odpovedať Známka: 10.0 Hodnotiť:

Re: gfgf fdg Od: citajtepozorne | Pridané: 11.3.2022 19:50 Ako to ze je niekto amater je to jeho problem. Najvacsi pruser je ze toto ide z nasich penazi … ale to asi zbytocne pripominam Odpovedať Známka: 8.9 Hodnotiť:

Re: gfgf fdg Od: Fghhjbv | Pridané: 13.3.2022 11:02 Cela VRP za cias smeru stala 9.5mil eur, za vymenu certifikatov chcela firma co robila VRP 500tis eur, fin sprave sa to zdalo vela za nieco co im mohlo trvat par hodin. Kedze kod nevlastnia urobili toto. Zaroven pracuju na novom rieseni internymi programatormi odhaduju cca 50tis eur interne naklady na cele nove riesenie a cca 6 mesiacov casu. Odpovedať Známka: 4.3 Hodnotiť:

Re: gfgf fdg Od: lololol | Pridané: 14.3.2022 9:55 Tak ak predpokladajú na nové riešenie 6 mesiacov času, tak na tom mali začať pracovať pred pol rokom. Odpovedať Známka: 10.0 Hodnotiť:

proprietetarne sracky Od: janko zygelitkil. | Pridané: 13.3.2022 11:56 "V oznámení avizuje, že k aktualizácii aplikácie tak pristúpila vlastnými kapacitami" a keby neriesili chujoviny ale otvorili od zaciatku aspon api, nemuseli v ramci svojich obmedzenych kapacit robit nieco co ocividne nevedia. Odpovedať Hodnotiť:

Re: proprietetarne sracky Od: Draagon | Pridané: 13.3.2022 21:55 A co by teraz v tejto situacii dosiahli ak by otvorili API? Cele fnukanie za API pri vRP je blbost. VRP bola vzdy urcena pre maly pocet dokladov a s istymi kompromisnymi rieseniami. Zoberme si tu zataz ak by bol otvorene API. A v skutocnosti na to je tu ORP. To ze totalne na poslednu chvilu zmenili postupy a zaviedli si nejake CHDU o ktorom dlho nebola predtym rec a spravilo predosle vedenie FS poriadny tunel v ramci celeho, no to je pruser. Ziadne API nepotrebuje VRP ak by projekt eKasa a ORP boli normalne navrhnute a riesene. A to zmenit nie je sranda, ak vobec sa do toho niekto pusti, lebo to je na velmi dlho. Od toho toto je pruser, lebo mohli to riesit skor, ale predpokladam, ze nikto ani netusil, ze ten certifikat vyprsi a teraz sa riesi narychlo nejako pruser co vznikol. Odpovedať Hodnotiť:

Myslite aj na nas Od: applista | Pridané: 13.3.2022 19:40 To akoze mam teraz zahodit svoj iphone lebo su lenivy spravit apku pre ios? A nejebe im? Odpovedať Známka: 10.0 Hodnotiť:

ultraradikalny ohladuplnizmus Od: syntaxterrorXXX,. X | Pridané: 13.3.2022 19:53 Presne tak. Veď to je ako premiestniť štátny úrad do budovy bez rampy pre hendikepovaných! Čo príde ďalej!? Budeme biť vozíčkárov!? Odpovedať Známka: 3.3 Hodnotiť:

Re: ultraradikalny ohladuplnizmus Od: Kalkulačka 365 | Pridané: 15.3.2022 8:50 Odpoveď bude ako pri štátnej karanténe. Každý si má kúpiť lacný Android :D Odpovedať Hodnotiť:

a to sa moze? Od: reakcias | Pridané: 14.3.2022 10:53 Nie je nezakonne upravovat appku, ktoreho vlastnikom je niekto iny? Predpokladam ze stat ju len vyuzival, ale nevlastnil, kedze nema povodny privatny kluc na podpis... Odpovedať Hodnotiť:

Pridať komentár