Skoro jsem si nainstaloval eRoušku

| 19. 9. 2020 | Článek

Koronavirus může být nepříjemný. Nechci zbytečně riskovat zdraví své, ani jiných. Nejen z úst představitelů státu jsem zaslechl, že nová verze aplikace eRouška je už plně důvěryhodná. Že ji nelze využít k identifikaci člověka, který se setkal s nakaženou osobou. Tak jsem se rozhodl aplikaci eRouška trochu prozkoumat.

Vida, eRouška je opensource! Stáhnu si tedy projekt z GitHubu, podívám se do dokumentace, přečtu si kód, přeložím a když budu spokojený, prostě si vlastnoručně vytvořený balíček nainstaluji na telefon.

Začal jsem tedy na GitHubu. Do Android Studia jsem si naklonoval aplikaci a otevřel README.md. To je soubor, ve kterém se obvykle píšou informace užitečné pro vývojáře a další uživatele. Moje nadšení z opensource hned trochu ochladlo, protože jsem už v úvodu narazil na nepravdivé tvrzení. Píše se tam, že tým vývojářů je nyní placen NAKIT, tedy Národní agenturou pro komunikační a informační technologie. V závorce je však uvedeno (volně přeloženo) „nyní nás platí NAKIT (společnost českého Ministerstva zdravotnictví)“. Tím ale NAKIT skutečně není. Nakit je podnik, konkrétně státní podnik, ale nepatří pod Ministerstvo zdravotnictví. Patří pod Ministerstvo vnitra. Jen drobná chyba, mohl by si někdo říct, ale mezi těmi resorty je podstatný rozdíl.

Budiž, chyba se může stát, řekl jsem si. Otevřel jsem tedy webové stránky eRoušky a hledal něco, co by právě pošramocenou reputaci vývojářů vylepšilo. V zápatí jsem našel odkaz „Audit a kód“, tak jsem se tam šel podívat.

Dvě dobrozdání jsem hned přeskočil. Jejich autoři jsou totiž z Evropské komise a CERGE-EI. Těmto institucím nedůvěřuji. Ovšem z pěti „Auditů a posudků“ (všechny pro eRouška 1.0, nikoliv pro současnou verzi) byly tři označené „FIT ČVUT“. Budiž, sice preferuji matfyzáky, ale Fakulta informačních technologií ČVUT je pro mne autorita na úrovni. A tak jsem se podíval do posudků.

První posudek od FIT ČVUT je označen „Posudek mobilní aplikace eRouška ze dne 2. 4. 2020“. Dokument obsahuje dvě tvrzení:

  1. „Aplikace neodesílá data o setkáních mimo zařízení bez vůle uživatele. Až pouze ve chvíli, kdy uživatel stiskne odeslat data, dojde k jejich odeslání.“
  2. „Aplikace nesbírá údaje o GPS poloze telefonu.“

To je vše. Pod dokumentem je podepsáno pět lidí včetně děkana. Dokument je podepsaný platným elektronickým podpisem. Moc ujištěný tedy nejsem, ale je to dobrozdání od autority.

Když jsem otevřel další posudek, byl jsem překvapený. Je datovaný 8. dubna 2020, na hlavičkovém papíru společnosti Ackee, s.r.o. a je pod ním podepsán jen jeden z pěti signatářů předchozího dokumentu. A především – toto není dokument od ČVUT a obsah jeho tvrzení je téměř totožný (akorát namísto „nesbírá“ je napsáno „nevybírá“). Zřejmě jde o nová tvrzení platná pro novou verzi aplikace. Má důvěra k výrobcům eRoušky opět poklesla, tentokrát velmi hluboko.

Poslední dokument „od FIT ČVUT“ je z 5. května 2020. Tvrzení jsou opět stejná a opět jde jen o dokument společnosti Ackee, s.r.o., nikoliv FIT ČVUT.

S takovým entrée opravdu zatím instalovat nebudu. A to ani verzi, kterou si sám přeložím. Nejdřív se podívám na Google Exposure Notification API (které eRouška 2.0 používá), na soulad tvrzení o způsobu fungování se skutečností v kódu a úvahu, jak se to dá zneužít. Vůbec nechci být přísný. Chyby lidé dělají, nebýt dokonalý je dokonce předpokladem dalšího rozvoje. Nepřesnosti se člověk může také dopustit. Nicméně prohlašovat dvě tvrzení za „audit“ a ve dvou případech ze tří si nevšimnout, že dokument, který autor označil jako FIT ČVUT, je ve skutečnosti od nějakého s.r.o., které ani nepatří ČVUT, byť možná jeho zaměstnancům, to už není jen otázka nepozornosti. V tom vidím úmysl a je jedno, jestli jeho smyslem bylo třeba jen chlácholení uživatelů.

Důvěryhodnost je základem spolupráce. A v tomto případě byla v mých očích důvěryhodnost těžce poškozena ještě dříve, než jsem se dostal ke studiu kódu.

Doplnění (20. 9. 2020 23:15)
Zavádějící označení dokumentů od společností Ackee již bylo na stránkách erouska.cz opraveno.

Ing. Karel Zvára, Ph.D.

člen Strany nezávislosti České republiky

Naše nejnovější články

Chcete dostávat upozornění na naše nové články?

Pin It on Pinterest