neprihlásený Štvrtok, 10. októbra 2024, dnes má meniny Slavomíra
Štát si hackol vlastnú aplikáciu pre virtuálnu pokladnicu, na Androide je potrebná reinštalácia

Značky: SlovenskoAndroidiOS

DSL.sk, 11.3.2022


Finančná správa uskutočnila zmeny vo svojej mobilnej aplikácii Pokladnica pre virtuálnu registračnú pokladnicu pre operačný systém Android, pričom podľa povahy týchto zmien ich uskutočnila zrejme bez plnej spolupráce pôvodných tvorcov aplikácie.

Finančná správa informuje o výrazných zmenách aplikácie aktuálne v tomto oznámení.

V prípade Androidu si užívatelia musia odinštalovať doterajšiu verziu a nainštalovať novú verziu, ktorá je zatiaľ dostupná len z webu finančnej správy a nie v Google Play. Pre operačný systém iOS nová funkčná verzia k dispozícii nebude.

Doterajšie verzie budú funkčné len do 16. marca, keď platnosť certifikátu používaného zrejme aj na zabezpečenie SSL / TLS komunikácie aplikácie s API servermi vyprší 17. marca a finančná správa certifikát vymení 16. marca. Užívatelia na Androide si musia do tohto termínu nainštalovať novú verziu, pre užívateľov na iOS už nebude funkčná aplikácia dostupná. Okrem aplikácie pre Android bude naďalej virtuálna pokladnica dostupná aj v podobe webovej aplikácie.

Podľa oznámenia finančnej správy sú dôvodom týchto zmien a postupu nedoriešené zmluvné vzťahy s dodáveľom aplikácie v súvislosti s neprimeranými vysokými nákladmi na prevádzku. V oznámení avizuje, že k aktualizácii aplikácie tak pristúpila vlastnými kapacitami.

Na to ukazuje aj naša analýza inštalačných APK súborov aplikácie Pokladnica pre Android, keď zmeny boli podľa svojej povahy uskutočnené zrejme bez spolupráce pôvodných tvorcov. APK novej verzie je takmer identické a má rovnaký samotný kód aplikácie. V APK doterajšej verzie sa nachádzali dva súbory s dvomi certifikátmi pre domény finančnej správy, jeden starší s platnosťou končiacou 16. marca 2020 a jeden aktuálny platný do 17. marca 2022. V novej verzii APK bol starší certifikát vymenený za nový platný do 17. marca 2023.

Dá sa tak predpokladať, že aplikácia pri SSL / TLS komunikácii s API servermi nekontroluje len platnosť a dôveryhodnosť certifikátu ale porovnáva ho aj s certifikátmi zahrnutými v APK.

Druhou podstatnou zmenou nového APK je jeho podpísanie novým privátnym kľúčom. Android aplikácie vývojári podpisujú privátnym kľúčom, pričom Android následne dovoľuje inštalovať len aktualizácie aplikácie podpísané rovnakým kľúčom a teda od rovnakého vývojára ako pôvodná aplikácia. Keďže pre novú verziu aplikácie Pokladnica bol použitý iný kľúč, užívatelia si ju nemôžu nainštalovať ako aktualizáciu doterajšej aplikácie, zatiaľ si ju musia sťahovať zo stránok finančnej správy a pred nainštalovaním odinštalovať doterajšiu verziu.

Keďže finančná správa zvolila takýto postup komplikovanejší aj pre užívateľov a okrem iného vyžadujúci informovanie všetkých užívateľov, evidentne nemala prístup ku kľúču používanému pre podpisovanie doterajších verzií.

Stanovisko finančnej správy zisťujeme.

Užívatelia môžu nájsť odkaz na stiahnutie nového inštalačného súboru aplikácie pre Android aj návod inštalácie pre menej zdatných užívateľov na tejto stránke.

Finančná správa podľa oznámenia do budúcnosti pracuje na vývoji novej aplikácie pre všetky platformy tak, aby jej využívanie nebolo závislé od externých subjektov. Kedy by mala byť sprístupnená nová aplikácia oznámenie neinformuje.


      Zdieľaj na Twitteri



Najnovšie články:

O2 mierne zlepšilo pokrytie 5G
Predaje PC poklesli, najmä Macov
Skladateľné smartfóny ovládli čínski výrobcovia, vedie Huawei
Aj Nobelova cena za chémiu udelená za umelú inteligenciu, na predpovedanie tvaru bielkovín
Slovensko.sk bude mať od večera odstávku, bude sa zväčšovať kapacita diskov


inzercia



Diskusia:
                               
 

kool.
Odpovedať Známka: 10.0 Hodnotiť:
 

Slovensko.sk je digitalna sekta
Odpovedať Známka: 5.7 Hodnotiť:
 

Tak slovensko.digital sa tiez vyfarbilo. Remisovej podivne vyberove konania schvalili vsetkymi desiatimi.
Odpovedať Známka: 4.7 Hodnotiť:
 

nejde mi appka! za čo ja platím ty...?!
Odpovedať Známka: 10.0 Hodnotiť:
 

nema niekto link na zmluvu na obstaranie a prevadzku povodnej aplikacie eKasa? By ma zaujimalo, v com bol hacik.

Odpovedať Známka: 8.9 Hodnotiť:
 

predpokladam, ze hacik bol v cene
Odpovedať Známka: 10.0 Hodnotiť:
 

Evidentne v tom, že nevedia vyjednať ani prd priekazne ani z pozície výkonnej moci.
Odpovedať Známka: -1.2 Hodnotiť:
 

Prosim ta nevyjadruj sa takto skaredo o nasej vlade. Usilovne pracuju na tom, aby sme sa sa mali lepsie, najma im zalezi na tom, aby sme ziskali ruske rakety uplne zdarma a s dopravnym v cene. Dokonca ani skolit nikoho nebude treba, pretoze vybuchnu uplne same.
Odpovedať Známka: 1.8 Hodnotiť:
 

Nech zverejnia API a budú mať toľko aplikácií, že ani nebudú musieť vymýšľať vlastnú.
Odpovedať Známka: 9.0 Hodnotiť:
 

API sice zverejnene nie je ale vies sa k nemu dostat... aspon ti sikovnejsi. Vsak si pozri kolko apiek uz funguje cez ich API.
Odpovedať Známka: 6.9 Hodnotiť:
 

Tak schvalne poradte kolko apiek to je a ake.
Lebo nejako ich nejde najst.

Odpovedať Známka: 8.6 Hodnotiť:
 

Appky nie su kvoli tomu lebo stat zakazal pouzivat VRP inak ako cez ich vlastnu appku. Asi dva uctovne softy to mali aj implemetovane a potom userom posielal vyhrazne listy ked nato prisli, ze takto sa vobec pouziva.
Odpovedať Známka: 10.0 Hodnotiť:
 

Ak sa k nim nevieš dostať sám, tak by som si na tvojom mieste radšej neodmontovovával tie malé kolečká na zadnom kolese bicykla, lebo by si si vzápätí rozjebal držku.
Odpovedať Známka: -3.3 Hodnotiť:
 

Keď sa klikne na odkaz na príslušnú stránku, tak v hneď prvej stati - registračná pokladnica v poslednom odseku sa možno dočítať toto: Využívať aplikáciu prostredníctvom operačného systému iOS nebude od 17. marca 2002 možné.

Ide o dilatáciu času v blízkosti čiernej diery.
Odpovedať Známka: 9.1 Hodnotiť:
 

A hackeri priekazne nebudú mať čo žrať!
Odpovedať Známka: 1.4 Hodnotiť:
 

Povedal by som, ze je akousi oblubou istych ludi (inak povedane uchylnost) zakompilovat do APK certifikat a ten porovnavat s tym, ktory poskytuje server.
Tiez som nejake roky supportoval rovnakym sposobom APK, kde sa menil hlavne stale vnutorny certifikat.
Jedina vyhoda v mojom pripade bola, ze som mal k dispozicii aj povodny podpisovy, takze APPka sa vedela aktualizovat bez nutnosti uplneho odinstalovania.

Myslim, ze dovod bol aj v kompatibilite, lebo taketo riesenie dokazalo bezat aj na starych Androidoch (ironiou na najnovsom nesla), kdezto po vydani noveho riesenia (bez zakomponovanych certov), uz APPka dokazala bezat iba na novsich Androidoch.
Odpovedať Známka: 5.0 Hodnotiť:
 

Vola sa to certificate pinning a nie je to uchylnost. Ak je v appke cert, tak bude komunikovat len so spravnym servrom. Ked v appke nie je, tak kombinaciou doinstalovaneho, alebo zneuziteho CA + proxy sa da donutit aplikacia pouzivat konkretny certifikat. Vdaka tomu potom ide komunikaciu desifrovat a monitorovat ... google, facebook, banky a podobne veci maju vzdy cert v appke / v browseri, aby bolo na 100% iste, ze nedojde k desifrovaniu dat.
Odpovedať Známka: 10.0 Hodnotiť:
 

Toto ma na starost vasilisa premudra? Ci to spada pod igora?
Budu za to padat hlavy, alebo nepustia zapustene korene?
Alebo bude vyhovorka lebo fico?
Keby aspon ten web upravili pre mobil, mozno by netrebalo tu amatersku apku...
Odpovedať Známka: -0.8 Hodnotiť:
 

Este ze to zdedila po pelem.
Osobne nechapem ako moze firma vydrbavat s financnou spravou. Ked uz tito nevedia dat firmu do pozoru tak tu je raj podnikat.
Odpovedať Známka: 3.3 Hodnotiť:
 

Alebo je vsetko inak, ale nejaku rozpravku si musia vymysliet. Cele obkecanie je jedna velka blbost a ukazovat na ineho este vacsia. Vedeli o probleme? Vedeli. Vedeli, ze vyprsi certikifat? Asi vedeli. Najskor sa na cele pozabudlo a zrazu ej sakra sa niekto zobudil a zacal zvonit na poplach. Vsak tyka sa to obmedzeneho poctu ludi, a im hodili nejaku navnadu a zozeru to aj s navijakom. Uz vobec tvrdenie, ze instalacia apk manualne je bezna vec a bezpecna je ..... Som zvedavy ak sa nieco stane, kto ze bude zodpovedny. Odpoved bude. Nemali ste si instalovat aplikaciu z neznameho zdroja? No comment
Odpovedať Známka: 7.8 Hodnotiť:
 

Zjavne nie je dost pravnikov aby sa do basy za kuciaka dostal co i len kocner, ale na zmluvy kde sa da odrbat stat mame odbornikov ze sem chodia na staze aj mafiani z talianska.
Odpovedať Známka: 2.0 Hodnotiť:
 

Pracoval som dlho v agenture, ktora robila appky na zakazku. A nepametam si ziadneho klienta, ktory by spolu so zakazkou nechcel aj kluce na podpisovanie aplikacie. A aj ked o nich neziadal, tak sme mu ich dali. V state musia robit riadni babraci, ak prevzali a cez svoj Google Play ucet zverejnili aplikaciu, ku ktorej nemaju podpisove kluce. Amaterizmus.
Odpovedať Známka: 10.0 Hodnotiť:
 

Ako to ze je niekto amater je to jeho problem. Najvacsi pruser je ze toto ide z nasich penazi … ale to asi zbytocne pripominam
Odpovedať Známka: 8.9 Hodnotiť:
 

Cela VRP za cias smeru stala 9.5mil eur, za vymenu certifikatov chcela firma co robila VRP 500tis eur, fin sprave sa to zdalo vela za nieco co im mohlo trvat par hodin. Kedze kod nevlastnia urobili toto. Zaroven pracuju na novom rieseni internymi programatormi odhaduju cca 50tis eur interne naklady na cele nove riesenie a cca 6 mesiacov casu.
Odpovedať Známka: 4.3 Hodnotiť:
 

Tak ak predpokladajú na nové riešenie 6 mesiacov času, tak na tom mali začať pracovať pred pol rokom.
Odpovedať Známka: 10.0 Hodnotiť:
 

"V oznámení avizuje, že k aktualizácii aplikácie tak pristúpila vlastnými kapacitami"
a keby neriesili chujoviny ale otvorili od zaciatku aspon api, nemuseli v ramci svojich obmedzenych kapacit robit nieco co ocividne nevedia.
Odpovedať Hodnotiť:
 

A co by teraz v tejto situacii dosiahli ak by otvorili API? Cele fnukanie za API pri vRP je blbost. VRP bola vzdy urcena pre maly pocet dokladov a s istymi kompromisnymi rieseniami. Zoberme si tu zataz ak by bol otvorene API. A v skutocnosti na to je tu ORP. To ze totalne na poslednu chvilu zmenili postupy a zaviedli si nejake CHDU o ktorom dlho nebola predtym rec a spravilo predosle vedenie FS poriadny tunel v ramci celeho, no to je pruser. Ziadne API nepotrebuje VRP ak by projekt eKasa a ORP boli normalne navrhnute a riesene. A to zmenit nie je sranda, ak vobec sa do toho niekto pusti, lebo to je na velmi dlho. Od toho toto je pruser, lebo mohli to riesit skor, ale predpokladam, ze nikto ani netusil, ze ten certifikat vyprsi a teraz sa riesi narychlo nejako pruser co vznikol.
Odpovedať Hodnotiť:
 

To akoze mam teraz zahodit svoj iphone lebo su lenivy spravit apku pre ios? A nejebe im?
Odpovedať Známka: 10.0 Hodnotiť:
 

Presne tak. Veď to je ako premiestniť štátny úrad do budovy bez rampy pre hendikepovaných! Čo príde ďalej!? Budeme biť vozíčkárov!?
Odpovedať Známka: 3.3 Hodnotiť:
 

Odpoveď bude ako pri štátnej karanténe. Každý si má kúpiť lacný Android :D
Odpovedať Hodnotiť:
 

Nie je nezakonne upravovat appku, ktoreho vlastnikom je niekto iny? Predpokladam ze stat ju len vyuzival, ale nevlastnil, kedze nema povodny privatny kluc na podpis...
Odpovedať Hodnotiť:

Pridať komentár