TEST – zabezpečení digitálních očkovacích certifikátů i aplikací Tečka a čTečka je spolehlivé
28.01.2022   
TEST – zabezpečení digitálních očkovacích certifikátů i aplikací Tečka a čTečka je spolehlivé

​​​​​​Pustili jsme se do komplexních testů zabezpečení mezinárodních očkovacích certifikátů EU COVID-19. Jejich ochrana je jedním slovem spolehlivá a ochrana osobních údajů v rámci systému těchto certifikátů také maximálně účinná. Také jsme zjistili, že dostatečně kvalitní je i zabezpečení mobilních aplikací Tečka a čTečka.


Analýza evropského COVID certifikátu, který je určený k prokazování zdravotního stavu v souvislosti s onemocněním covid-19, ukazuje na vysokou úroveň kybernetické ochrany systému. Rovněž Tečka a čTečka, dvě tuzemské oficiální aplikace pro správu a kontrolu digitálních COVID-19 očkovacích certifikátů, jsou transparentní a bezpečné. Vyplývá to z prověřování provedeného kolegy z divize Security Assessment. 

„Obě aplikace jsou psány a sestaveny podle současných trendů a pravidel, která doporučujeme svým klientům,“ konstatuje z pozice Mobile Security Specialist kolega Martin Musil. Jediným nedostatkem je tak podle jeho slov fakt, že produkční verze aplikací Tečka i čTečka pro platformu Android v sobě obsahují hypertextové odkazy na testovací prostředí ministerstva zdravotnictví či ÚZIS. Ta jsou veřejně dostupná a mohla by případně hackerům sloužit jako místo pro jejich útoky. 

Stále však platí, že žádný z dosud zveřejněných problémů spojených s COVID certifikáty nepadá na vrub sofistikovanému napadení uvedených aplikací. Stávající podvody jsou umožněny jednak některými evidentními chybami v zabezpečení certifikačních serverů v jednotlivých zemích EU, zastaralými počítačovými systémy v ordinacích lékařů a také pochybením konkrétních odpovědných osob, včetně pracovníků očkovacích center. 

Jedním z důležitých zjištění pro bezpečí uživatelů je, že aplikace čTečka si lokálně do své paměti neukládá signatury naskenovaných certifikátů, či dokonce celý QR kód, ale pouze zaznamenává počet takto zkontrolovaných certifikátů a jejich stav. „Zjednodušeně řečeno tak nehrozí, že úředníci, zaměstnanci ve službách nebo třeba podnikatelé v pohostinství by mohli sbírat kontrolované certifikáty návštěvníků a nelegálně s nimi dále nakládat,“ dodal kolega Martin.