Москвичи, вы не знали? Тогда эта статья точно для вас!
с официальной страницы нашего мэра Собянина мос.ру
«Социальный мониторинг» с некоторых пор стал не обязательным. Можете смело посылать того, кто с вас требует его установки, т.к. это нарушает 2 закона. Теперь не надо нервничать, что у тебя отключился Интернет из-за проблем провайдера или электросети, не надо себя, больного, с высокой температурой, поднимать во время сна, чтобы отправить по требованию смс-оповещения своё селфи и доказывать, что ты валяешься дома и честно никого не заражаешь. Я вообще не понимаю, как, нарушая законы 152-ФЗ (защита персональных данных, согласие на их обработку по своей воле) и 51 Конституции РФ (никто не обязан свидетельствовать против себя самого и своих близких), наш мэр Собянин своим Указом (п.п.12.4 и 12.5) совместно с Роспотребнадзором и ДИТом (Департаментом Информационных Технологий) умудрились запустить такое «косячное» приложение в нашу столицу. Такое ощущение, что их юристы вообще не изучали юриспруденцию, а «айтишники» писали её за одну ночь на коленке!
Благо, когда до меня дошёл этот вирус, в Интернете появилось достаточно много информации. Респект автору этой статьи и вот этому агентству гражданской журналистики , которые хорошо пояснили материал! Мой друг, закрывающий свой 36-дневный больничный чуть раньше меня, не знал об этом! Установил.
Оно, естественно, «лагало» (благо, хоть штрафов не присылало) и постоянно его беспокоило, в том числе и во время дневного сна. Подруга, которая только нюх потеряла, болела в мае. Тогда приложение было строго обязательным (пойди-докажи обратное!) и оно мониторило её каждый час с 9, но до 19 часов, хотя пишут, что запросы идут до 22:00. Её лично оно не напрягало, т.к. и так сидела дома на «удалёнке» и телефон всегда был рядом:
скрин с сайта мос.ру
А теперь представьте себе, что у вас резко возникли проблемы с сетью (однажды у меня за время болезни на несколько часов отвалился Интернет-провайдер), сервером ДИТа (да-да, у госструктур это часто бывает при обновлении или кибер-атаках!) или вы не услышали сообщение во время крепкого сна. Тебе давали час (!) на то, чтобы с момента запроса ты мог отправить фото в доказательство.
А если ты проспал 2-3. Тогда штраф от 4 000 рэ будь добр выплати в казну не знаю, кого. Ну, можно в суде оспорить было, но для этого надо было идти на почту и посылать официальное письмо. Больному человеку, которому дали ограничение на 14 дней минимум! Потом, правда, сделали возможность подачи жалобы электронно.
При этом, ты ещё сам (документарно!) должен был доказать, что ты спал, не услышал, у тебя не работал провайдер или у них — сервер. Ну не идиотизм?
скрин с сайта мос.ру
Бывало, что народу приходил штраф, когда они покидали место жительства для прохождения лечения в стационаре. Это не смотря на то, что на сайте пишут, что сообщать о госпитализации никуда не нужно — статус пациента меняется и даже можно не пользоваться программой! Так что, если ты вылечился в больнице, никто не гарантирует, что при выписке тебе не набежит за каждый день по 4 000 рэ, которые потом придётся самому же и обжаловать:
скрин с мос.ру
Здесь же несоответствие про мусор, выгул собаки и поход в магазин: если тебе дали (а тебе в любом случае дали как больному или контрактному!) предписание не выходить и изолироваться, то ты ни в коем случае не можешь даже хлеба себе купить, оставив при этом свой злополучный телефон, по которому тебя отслеживают, дома. Хотя, кому как повезёт: подруга болела в мае и после 19 часов, оставив телефон дома, выходила на улицу гулять, а друг коллеги мужа вышел за хлебом и ему прилетел штраф 15 тысяч и несколько фото — у подъезда и в магазине на кассе, хотя он был весь замотанный, что никак не узнать. То ли карту засветил, то ли полиция местная его слишком хорошо знает.
Как быть в такой ситуации с собакой, с которой нужно гулять ежедневно, если ты живёшь один — вопрос. Думаю, его надо обсуждать с врачом до получения любой бумаги на руки. Нормальный сосед, конечно, согласится с ней выйти, ну а что, если твоя собака никого, кроме тебя, не признаёт или нормальных соседей нет, да ещё они от тебя начнут шарахаться, узнав о диагнозе?
Можно смело дохнуть с голоду, а собака пусть гадит у тебя же дома? Врач наша сказала «заказывайте продукты через курьера». Но лично я курьеров на дом не заказываю — большинство из них приезжие и живут в общагах, а там не только туберкулёз можно поймать. У меня, на всякий случай, всегда запас продуктов — холодильник, морозильная камера и стеллаж забиты. Брат нам только за хлебом и фруктами ходил 3 раза.
С недавних пор обязанность по установке программы «социальный мониторинг» отменили, но на сайте нашего мэра информация по установке до сих пор стоит как «необходимая»:
врут до сих пор, вводя граждан в заблуждение. скрин с мос.ру
Поэтому, старайтесь ничего не подписывать. Но врач будет по-прежнему предлагать его установить при каждом посещении тебя на дому. Мне лично предлагали дважды из пяти приходов, как только пришёл «положительный» ПЦР, я дважды отказывалась.
Причём, если первый раз мы с терапевтом обговорили всё это через шутку и посетовали на проблемы, с ней связанные, то на второй раз тот самый хирург , который мне в самом начале болезни брал тот самый тест и Гидроксихлорохин выдавал без расспроса о моих заболеваниях, прямо с порога стал требовать подписать бумагу об установке приложения и изоляции. Это вместо осмотра.
Ни лёгкие не послушал, ни сатурацию не измерил (для начала). Сразу давай ему подписывай! Я на него смотрю и говорю «А Вы вообще не в курсе, что это НЕ обязательно? Я могу поставить вам подпись, но только под тем, с чем я согласна (изоляция)». Он мне «Там подпись одна на весь документ». Я ему «И что?
Я имею право подписывать документ под каждой страницей, даже если там не предусмотрена подпись, и указывать пункты, с которыми я лично НЕ согласна». Он затупил, начал нервничать и намекать на то, что если я не подписываю — он не даёт мне даже этот документ изучить и идёт к другим пациентам, которых у него достаточно (бедные люди. ). Измерив сатурацию и повысив на «нервяке» мою ЧСС, он спешно ретировался, а в моей электронной медицинской карте потом появилось, что меня обследовали во все места, в которые только может залезть терапевт (горло, миндалины, язык, суставы, сердце, лимфатические узлы, кожные покровы и прочее):
моя электронная медкарта. Посещение хирургом на дому
Если вы заметили, на второй странице внизу есть пункт «прочие рекомендации» — там прописано «отказ от фотосогласия», что означает отказ от той самой программы мониторинга.
Что меня стало поражать в приёмах ковидных пациентов — это то, что к нему боятся подходить (только для забора мазка и уточнения сатурации, не более!). Чтобы тебе выслушали лёгкие или осмотрели более детально — это уже надо просить. За 5 приходов врача на дом только раз (да и то —
по моей же просьбе) мне прослушали лёгкие! И это когда 5-й день у меня температура доходила до 38. Если в Москве сейчас это поголовно, то каково в областях. Жесть.
В общем, после такого отношения хирурга, мои нервы не выдержали: я открыла компьютер и начала строчить жалобу заместителю главного врача этого филиала в письменном виде на официальный сайт ЛПУ. Описала всё, вплоть до законов и вранья-обследования в моей карте и что если мне назначат штраф за отказ от установки программы, то я буду вынуждена требовать его через суд с этого «дохтура».
Через день она мне позвонила сама. Разговор мне не очень понравился, т.к. она начала с того, что «Вы мне тут столько всего понаписали. «. «Понаписали» — в этом слове чувствовались усталость от наших жалоб и презрение. Хотелось сказать в ответ, чтобы сначала с сотрудником разобрались, а потом бы звонили пациенту.
Но с сотрудником теперь разобраться сложнее: во-первых, он временно принадлежит «ковидному» КДЦ, а не ГП, который указывает в моей мед.карте (т.е., у него сейчас другой начальник), во-вторых, у них так много работы, что они устают (это понятно, но почему никто не вводит их в курс, что теперь можно требовать от пациента, а что — нет?). Успокоив меня, что штрафа не будет, т.к. я отказалась «мониториться», мы тихо-мирно распрощались. Жаль, зам.главного врача этого филиала не предложила мне прислать письменный ответ (такое возможно, лучше иметь на всякий случай). По итогу, штрафов нет ни мне, ни мужу (он, как контактный, просидел честно 2 недели со мной) не прислали, но мы и из дома не выходили — занимались домашними делами, муж ещё стену от старой краски в туалете обдирал со скуки.
Электронный больничный лист. С нового года для бухгалтеров открылась возможность не посещать ФСС с нашими бумажными больничными, если есть электронный вариант. Как только я заболела, мне сразу сообщили, чтобы я брала именно электронный. Открыл его тот самый хирург, мать его. Открыть — открыл, а номер не присвоил (или не присвоили)!
Дал, не смотря на симптомы, на неделю, хотя и так понятно, что болеть мне минимум 2. Когда через несколько дней на дом пришла уже терапевт (как раз заканчивался срок моего первого больничного), она сказала, что кроме бумажного ничего дать не может и. открыла новый больничный (это при том, что у меня тот ещё не закрыт). Ладно, я не в курсе всего этого, но моему бухгалтеру, когда я принесла все документы, пришлось решать эту проблему за счёт фирмы: первые 3 дня больничного платит организация. В этот раз она дважды заплатит мне за первые 3 дня — за электронный и бумажный варианты, т.к. открыты и закрыты были оба друг за другом. Бодаться с ЛПУ она не стала — больше мороки. Хотя я готова была предоставить скрин с телефона, что мне только 24 числа присвоили номер электронного и открыли его 9 числа:
вот так у нас работает новая возможность с электронными больничными)))
По правилам, когда открывают эл.больничный, тебе сразу должно прийти смс, что тебе его открыли и присвоили такой-то номер (этот № ты сообщаешь в бухгалтерию для передачи его в ФСС). Вы теперь тоже должны это знать. Я не знаю, как они его продляют, но пока закрывала бумажный в поликлинике, администратор сообщила моему терапевту (той пришлось спуститься со мной для выяснения обстоятельств в связи с отсутствием номера электронного в системе ЕМИАС), что сейчас могут возникнуть (слава Богу, обошлось!) проблемы с закрытием и, если повезёт, нам дадут номер электронного и она сможет его закрыть и только потом уже закрыть мой бумажный. Вот такой вот бардак в системе. Кстати, открыла я больничный в выходные, за которые мне тоже заплатят — бухгалтер уже сообщила мне обе суммы.
Будьте здоровы, товарищи и не забывайте контролировать, чтобы вам дали номер электронного больничного сразу же!
Источник: dzen.ru
«Социальный мониторинг» напомнил о себе
В России могут смягчить коронавирусные ограничения. Как заявила глава Роспотребнадзора Анна Попова, если человек контактировал с зараженным, ему больше не нужно будет отправляться на самоизоляцию. Идею уже поддержал президент Владимир Путин. Тем временем в Москве власти настаивают, чтобы ограничительные меры строго соблюдались: всем заразившимся напомнили о необходимости устанавливать приложение «Социальный мониторинг». “Ъ FM” поговорил с пациентами, получившими положительный тест, и выяснил, почему это требование соблюдается не всегда. С подробностями — Иван Якунин.
Выйти из полноэкранного режима
Развернуть на весь экран
Фото: Ирина Бужор, Коммерсантъ
Нашумевший сервис за полтора года критиковали не раз. И за то, что он собирает слишком много данных, и за то, что не шифрует их. На это в мэрии отвечали, что все согласовали с ФСБ, и проблем нет. Потом появился «омикрон», и из-за большого количества заболевших начались сбои: пользователям приходило уведомление, что пора подтвердить свою геолокацию, а сделать этого они не могли. Дозвониться до поддержки тоже.
Какие заявления сделал Владимир Путин на встрече с представителями «Деловой России»
Впрочем, москвичка Светлана особых трудностей с «Социальным мониторингом» не испытала. По ее словам, он стал гораздо гуманнее, чем в начале пандемии: «Устанавливаешь приложение — появляется надпись, что данные на проверке, это может занять несколько дней. У меня она висела дней пять, наверное, но, как пояснил врач, даже в это время за тобой как бы следят.
Два-три раза в сутки появляется сообщение о том, что необходимо подтвердить местоположение. Нужно сделать свою фотографию и поставить геоточки. Они могут посылать тебе эти запросы, по-моему, с 9:00 или 10:00 до 22:00. В течение часа ты должен отметиться. Один раз в день можно поставить «режим сна» на два часа».
Когда пятая волна COVID-19 в столице может пойти на спад
В Департаменте информационных технологий признали проблемы из-за большого количества обращений и сказали, что время проверки действительно увеличилось. Но если за этот период приложение зафиксирует какие-то нарушения, штраф выставлять за них не будут. В остальном — никаких послаблений, всем получившим положительный тест установить «Социальный мониторинг» нужно обязательно. Москвичка Наталия, впрочем, смогла этого избежать:
«В поликлинике мне сказали ждать врача, который выдаст дальнейшие инструкции, что нужно делать. Несколько дней я его ждала — потом выяснилось, что медики сейчас вообще не ходят. Соответственно, я не подписывала никакие документы об установке, о передаче своих данных, мне не приходили никакие ссылки. Я не знаю, как его ставить. Мне никто об этом ничего не сказал.
Странно его загружать, когда у меня карантин уже подходит к концу».
Что известно об очередной мутации COVID-19
С ростом заболеваемости столичные власти стали активнее использовать систему дистанционной медицинской помощи, когда пациента с легкими симптомами консультируют по телефону и открывают электронный больничный без визита врача. Как говорят собеседники “Ъ FM”, в таких случаях о социальном мониторинге вспоминают крайне редко. Москвича Григория, впрочем, из-за высокой температуры врач все-таки навестил. Но и он не требовал установить нашумевшее приложение.
«Врач ко мне приезжала. Осмотрела, опросила, открыла больничный. Про «Социальный мониторинг» и самоизоляцию вообще ничего не сказала. Потом мне несколько раз звонили из разных ведомств, департаментов, горячих линий и роспотребнадзоров. О многом спрашивали, но опять же никаких вопросов по приложению. Я не стал добровольно его устанавливать.
Я просто тут с собакой иногда гуляю»,— рассказал Григорий.
Как поликлиники Санкт-Петербурга справляются с потоком посетителей
Федеральные власти при этом, кажется, настроены на смягчение ограничений. В Роспотребнадзоре рассказали, что почти половина москвичей переносит вирус бессимптомно. И если кто-то из них контактировал с зараженным, то садиться на карантин не нужно. Этот тренд можно развить и сократить самоизоляцию для тех, кто заболел, уверен главный научный сотрудник Центра имени Гамалеи Анатолий Альтштейн:
Как проходит вакцинация подростков от коронавируса
«Я думаю, что можно пересматривать. Эта болезнь протекает быстрее, только должен быть тест, конечно, что у человека больше нет вируса. После двух отрицательных полимеразных цепных реакций, может быть, и можно ему выходить. Бессимптомная форма, а потом отрицательный тест говорят о том, что вы уже не представляете опасность».
Решение об этом, впрочем, должен принимать Роспотребнадзор, там на этот счет пока комментариев не было. Московская мэрия также напомнила, что штраф за нарушение самоизоляции составляет 4 тыс. руб. А СМИ добавили, что следит за этим не только «Социальный мониторинг», но и городская система камер видеонаблюдения.
- Иван Якунин подписаться отписаться
- Пандемия коронавируса подписаться отписаться
Источник: www.kommersant.ru
Приложение «Социальный мониторинг»: анализ траффика
Началось все с прилета в Москву. Как и положено, я сдал необходимый ПЦР тест на ковид, дождался отрицательного результата, залил его на Госуслуги и… решил, что на этом мои московские приключения закончились. Но все оказалось не так просто. Ко мне внезапно пришел врач.
И вручил постановление, что 2 недели я обязан сидеть дома в карантине, так как в самолете со мной летел один зараженный. Про приложение «Социальный мониторинг» я много слышал и даже читал статью на Хабре, где люди покопались в его бета-версии. Ну а какой же исследователь не соблазнится покопаться в таком интересном приложении?
Скажу сразу, моей целью не было обмануть систему или сбежать из карантина. Свои 2 недели я честно просидел дома. Ну хорошо, пару раз выходил в ближайший магазин за пивом. Целью было посмотреть, что о нас знает эта система и насколько правдивы некоторые высказывания ее авторов. Сначала я занялся сбором предварительной информации. Выяснил примерно следующее:
- Приложение написано на основе программы трекера мусоровозов. Чему я не нашел вменяемых подтверждений, да и копание во внутренностях программы тоже ничего подобного не подтвердило.
- Бета версия была никак не защищена, ее декомпилировали и выложили на github. Впрочем, с гитхаба ее убрали по требованию правообладателя.
- Бета версия передавала фотки на сервер в Эстонии для использования сервиса распознавания лиц.
- Дальше я прочитал высказывание главы ДИТ Эдуарда Лысенко, который сказал следующее: «Руководитель ДИТ Москвы категорически опроверг информацию, что приложение передаёт фотографии на сторонний сервер: «На самом деле, ничего никуда не передаётся, — заявил он. — Во-первых, не передаются никакие фотографии в принципе. Во-вторых, тот код биометрический, который появляется, он попадает исключительно на сервера ДИТа.» Здесь мне уже стало интересно, как это фотки не передаются в принципе. Неужели они преобразуются в биометрический код прямо на смартфоне?
- Новая версия программы сильно обфусцирована и теперь практически невозможно ее анализировать.
- На самом деле передается не одна фотка, а серия фоток. Это сделано для того, чтобы было невозможно сфоткать свою бумажную фотку. Или даже видео передается.
- Если приложение перестало запрашивать фотки, карантин закончился.
Ставлю на Макбук mitmproxy, очень удобный анализатор траффика с минимумом настроек. Скачиваю их корневой сертификат, добавляю на айфон профиль – и вот оно! Весь траффик программы мы видим, как на ладони.
Регистрация приложения
Установить и зарегистрировать приложение нужно в течение суток от начала карантина. По этому поводу приходит SMS-ка. Раньше это делать бессмысленно, просто телефон не найдется в базе. Вот так выглядит запрос на регистрацию:
2020-09-12 17:48:03 POST https://sm-a-a90ae4b5a.mos.ru/api/covid/device/password HTTP/2.0 ← 200 application/json 82b 156ms
В ответ мы всегда получаем “200 OK” и ничего более. Если телефон есть в базе, придет SMS-ка с кодом, который нужно ввести в приложение. Если телефона в базе нет, просто ничего не придет. В deviceId передается UDID айфона. К этому идентификатору все привязано.
Если сломается айфон и мы поднимем новый из бекапа, приложение работать не будет. И будет штраф, с которым непонятно, как разбираться. Здесь и далее приватные данные будут полностью или частично заменяться на “XXYYZZ”.
Передача координат
Дальше я набрался смелости и подключил через mitmproxy «живой» телефон. Каждые минут 5-10, а также при запуске приложения, делается вот такой запрос:
2020-09-12 17:56:32 POST https://sm-a-a90ae4b5a.mos.ru/api/covid/device/60B1A8A1-2AD9-447C-BB25-91YYYYY19C6E/message HTTP/2.0 ← 200 application/json 83b 84ms [ < «accuracy»: 65, «battery_level»: 68, «charge»: false, «datetime»: «2020-09-12T14:56:32Z», «device_model»: «iPhone 11 Pro», «indoorNavigation»: < «bluetoothDevices»: [], «wifiDevices»: [ < «name»: «wifi-XXX», «rssi»: 0 >] >, «install_datetime»: «2020-09-08T07:57:11Z», «lat»: 55.XXZZZ732239728, «locationDatetime»: «2020-09-12T14:56:31Z», «locationStatus»: < «gps»: true, «isPermissionGranted»: true, «network»: true, «passive»: true >, «lon»: 37.YYZZZ270607305, «os_version»: «iOS 13.7.0», «version_ext»: «1.7 (127)» > ]
Здесь мы опять же видим deviceId, он другой, первый запрос я делал с айпада.
accuracy – точность определения координат, не знаю, в каких единицах
battery_level – уровень заряда батарейки. Интересно, зачем он ДИТ-у?
charge – стоит ли телефон на зарядке. Тоже непонятно, зачем передается.
datetime – текущая дата и время. Возможно используется, чтобы нельзя было «подкрутить» время на устройстве.
device_model – модель телефона. Ну мне не жалко, если об этом узнает ДИТ.
indoorNavigation – довольно интересно. Здесь список известных wifi сетей, по которым можно определить координату. Но при этом не передается BSSID, что делает эту информацию абсолютно бесполезной. По имени сети координаты не определить.
install_datetime – может использоваться для защиты от эмуляции этих запросов. Хотя эту информацию можно при желании получить и довольно несложно.
lat, lon – собственно, координаты
location_status – включен ли GPS и разрешено ли программе пользоваться им в фоне. А если нет, будет штраф.
os_version – версия iOS
version_ext – не разбирался, возможно, версия самого приложения
Передача селфи
Начинается самое интересное. Сниффим траффик в момент передачи сделанного селфи. Итак, где же наши биометрические хеши и видео? А вот что происходит на самом деле:
2020-09-12 18:00:15 POST https://sm-a-a90ae4b5a.mos.ru/api/covid/device/60B1A8A1-2AD9-447C-BB25-91YYYYY9C6E/photo HTTP/2.0 ← 200 application/json 39b 301ms Request Response Detail :authority: sm-a-a90ae4b5a.mos.ru content-type: multipart/form-data; boundary=alamofire.boundary.04b478f466f0605d accept: */* shard: 6 authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1OTk1NjYzMjl9.iq-noX2tu13tr4ut7sBWpgWl77sELkT kXCdODK9yvL8 ֞ostype: iOS accept-language: en-RU;q=1.0, ru-RU;q=0.9, cs-RU;q=0.8 accept-encoding: br;q=1.0, gzip;q=0.9, deflate;q=0.8 versionext: 1.7 (127) content-length: 378238 ֘user-agent: cookie: session-cookie=163402e73a984c296450ad1fdcb1815835321af39172a2bef8658e48071941dc73acdb9d1d976170d2ef9 70da45f5c87 Multipart form [m:auto] ҅Form data: photo: ����..JFIF. �.�..��.�Exif..MM.*. J. R.(. �i.
Z. �.
Ну все понятно, да? Эта часть защищена чуть сильнее, в запросе еще фигурирует Bearer токен, по которому организована авторизация. Момент получения токена я не отсниффил, возможно, токен приходит при запросе на селфи. Уходит ровно одна фотка.
Где же ваш биометрический хеш, господин Лысенко?
Запрос статуса и снятие карантина
Кроме передачи координат приложение еще регулярно делает запрос статуса. Кстати, возможно, что при запросе статуса и приходит запрос сделать селфи. Когда приложение перестало у меня запрашивать селфи, я ради интереса отсниффил запрос статуса:
2020-09-18 13:28:13 GET https://sm-a-a90ae4b5a.mos.ru/api/covid/device/60B1A8A1-2AD9-447C-BB25-91XXXXX19C6E/status HTTP/2.0 ← 200 application/json 317b 181ms
Самое интересное в ответе сервера – это “quarantine: null”. Это означает, что карантин закончился. Но приложение вам об этом не говорит. Более того, в message они все еще обещают запрашивать селфи.
И статус все равно активный. И координаты… ну конечно же приложение продолжает слать координаты устройства на сервер ДИТ! Поэтому удаляйте приложение сразу же по окончании карантина.
Что можно сделать
Из написанного очевидно, что можно написать скрипт, который будет эмулировать работу приложения и отсылать все нужные данные. Написание затрудняется тем, что в процессе тестирования можно легко схватить штраф. В первую очередь, нужно до конца отсниффить весь процесс регистрации, в том числе, в момент получения SMS-ки с кодом. Разобраться с Bearer аутентификацией и другими мелочами.
Вполне возможно, что анализируют EXIF записи фоток. В которых есть точное время, а также могут быть координаты. Поэтому решением будет наделать много разных фоток заранее, а EXIF править уже на ходу перед отсылкой.
Ну и в заключении хочу сказать, что ни в коем случае не призываю кого-либо нарушать карантин, особенно при положительном тесте на коронавирус. Это лишь анализ системы и небольшой камушек в огород ДИТ, которые любят делать странные публичные заявления. Не болейте!
Источник: habr.com