Mentionsy

Mateusz Chrobok
Mateusz Chrobok
10.08.2025 18:02

Czy mObywatel szpieguje Polaków?

🚨 W dzisiejszym materiale rozprawimy się z tematem, który niedawno rozgrzał sporą część publiki do czerwoności. Czy faktycznie jest powód do siania paniki? ‼️ Nie wierzysz mi na słowo? (bardzo dobrze!) Spróbuj sam i sprawdź mObywatela! 1. Najpierw zainstaluj java JDK 11, apktool (i opcjonalnie jadx) Na macOS komendą brew install openjdk@11 apktool jadx Na Ubuntu / Debian sudo apt install -y openjdk-11-jdk apktool jadx 1. Pobierz plik .apk. Ja pobierałem ze strony apk mirror po wyszukwaniu mobywatel. Na przykład tu https://www.apkmirror.com/apk/ministerstwo-cyfryzacji/mobywatel-publiczna-aplikacja-mobilna/mobywatel-4-60-0-4602-release/ UWAGA! Nie zachęcam do instalacji aplikacji spoza Sklepu Play 2. Dekompilacja do Smali / zasobów komendą: apktool d mobywatel_cala_nazwa.apkm -o decompiled 3. (opcjonalnie) Podgląd kodu w Twoim ulubionym edytorze lub: jadx-gui decompiled/classes*.dex Źródła: ❓Czy mObywatel szpieguje obywateli? https://www.gov.pl/web/cyfryzacja/czy-mobywatel-szpieguje-obywateli?trk=feed-detail_comments-list_comment-text 👂Aplikacja mObywatel, która wprowadził PiS, szpieguje Polaków jak Pegazus. T. Szwejgiert, Jan Piński https://www.youtube.com/watch?v=KeTQt1d4SbI 🗣️ Moja rozmowa z ChatemGPT https://chatgpt.com/share/688c7d6b-331c-800e-8a91-d21448f2cb7a 🐦 twixxer @ dawid_adamczyk https://x.com/dawid_adamczyk/status/1949793388997255504?t=hrNCrO0uYoBjqrAFQ8QKaQ&s=19 🐦 twixxer @ Jan_Pinski https://x.com/Jan_Pinski/status/1950327044253827256?t=bhEHsYqwwWYt4eeD1cHp_w&s=19 🐦 twixxer @ InfZakladowy https://x.com/InfZakladowy/status/1809272611806773424 🐦 twixxer @ InfZakladowy https://x.com/InfZakladowy/status/1694091528006726081 📟 Kod źródłowy mObywatela. Co z jego publikacją? https://cyberdefence24.pl/polityka-i-prawo/kod-zrodlowy-mobywatela-co-z-jego-publikacja 🗃️ Dokumentacja API do CEPiK (version: beta) https://api.cepik.gov.pl/doc 🗄️ ePUAP. Dokumentacja usług https://epuap.gov.pl/wps/wcm/connect/17be341a-ad74-49ad-9e14-e2f0cf899bbd/Dokumentacja+usług+v.1.0.pdf?MOD=AJPERES 📱About mObywatel 4.60.0 (4602) https://www.apkmirror.com/apk/ministerstwo-cyfryzacji/mobywatel-publiczna-aplikacja-mobilna/mobywatel-4-60-0-4602-release/ 📑 Omówienie CameraX https://developer.android.com/media/camera/camerax?hl=pl 📎 @[email protected] https://pol.social/@fedigov/111693546829778666 📒 Trusted execution environment https://en.wikipedia.org/wiki/Trusted_execution_environment 📁 FRIDA https://frida.re/docs/android/ 🤖 System magazynu kluczy Android https://developer.android.com/privacy-and-security/keystore?hl=pl Relevant xkcd: https://xkcd.com/386/ © Wszystkie znaki handlowe należą do ich prawowitych właścicieli. ❤️ Dziękuję za Waszą uwagę. Znajdziecie mnie również na: Instagramie @mateuszemsi https://www.instagram.com/mateuszemsi/ Twixxerze @MateuszChrobok https://twitter.com/MateuszChrobok Mastodonie https://infosec.exchange/@mateuszchrobok LinkedInie @mateuszchrobok https://www.linkedin.com/in/mateuszchrobok/ Patronite https://patronite.pl/MateuszChrobok Rozdziały: Intro Więcej kodu Wchodzimy głębiej Mechanizmy obronne mObywatela Kryptografia w mObywatelu #mObywatel #szpiegowanie #aplikacja #obywatele #bzdurabezpieczeństwa

Szukaj w treści odcinka

Znaleziono 25 wyników dla "AS"

I przyznam szczerze, nie spodziewałem się aż takiego odzewu z waszej strony, bo gdy wrzuciłem na Twittera informację o tym, że no ktoś tutaj mówi, że M-Obywatel jest strasznym narzędziem szpiegowskim, niczym Pegasus, Predator czy inne, to okazało się, że ten temat jest bardzo gorący i bardzo nośny i co więcej, sporo osób pisało do mnie w wiadomościach prywatnych, część z was pisała maile, także zgodnie z wolą ludu dzisiaj będzie

Potem, jeżeli ktoś z Was zostanie i będzie chciał zerknąć w głębiej, to będziemy sobie rozmawiać także o kodzie źródłowym, o tym, co tam rzeczywiście się znajduje i jak sami możecie to sprawdzić, tak żeby nie wierzyć mi na słowo.

Natomiast ja państwu powiem, dlaczego ja bym nigdy nie zapisał się i nie wziął, nie ściągnął tego na swój telefon, na swoje urządzenia.

Natomiast...

To jest, przepraszam, 2017 na Androida, 2018 na telefony iPhone.

To oznacza, że jest narzędziem typu Pegasus.

No więc to jest tak, w Androidzie od samego początku ten system był tak przemyślany, żeby każda aplikacja była w oddzielnej piaskownicy.

Na tym polega cały koncept piaskownicy i oddzielenia aplikacji pomiędzy sobą, że jeżeli ta aplikacja, która tutaj będzie tym naszym emobywatelem,

Przede wszystkim wtedy, kiedy macie jakieś informacje, które mają lokalnie zostać, czyli jakaś baza danych, jakiś certyfikat covidowy, jakieś Wasze prawo jazdy, czy cokolwiek innego.

To znaczy, nie odczytuje Waszych zdjęć, Waszych innych plików z innych aplikacji.

Czy ty się na to zgadzasz?

I to użytkownik ma prawo zgodzić się albo nie zgodzić, bo tym, kto kontroluje dostęp do kamery, jest Wasz system operacyjny.

Natomiast jak się zgodzicie, to system operacyjny dostarcza Wam informację o tym, że takie uprawnienie zostało dostarczone i pojawia się kropeczka.

Czy to ma jakiś rozsądny use case?

Jak się skanowało QR kody, które były w przypadku wyborów, jak się skanowały kody ASTEC na dowodzie, więc...

Sens tego, żeby ta aplikacja miała uprawnienia do kamery jest, natomiast tu też chodzi o to, że ta kamera nie jest włączona cały czas.

Ona nie jest włączona bez waszej wiedzy i bez waszej woli, więc jest to wyolbrzymienie.

Natomiast jak na razie żadna z tych informacji nie jest informacją krytyczną.

Przejdziemy sobie jeszcze do biometrii, do get tasks i do lokalizacji, bo chciałbym Wam to pokazać głębiej.

Natomiast chciałbym jeszcze trochę posłuchać zarzutów.

Macie to, czyli w każdym momencie państwo może po prostu, jeżeli masz zainstalowaną aplikację M-Obywatel i rządzą ludzie, którym się nie podobasz, którzy chcieliby, nie wiem, dowiedzieć się czegoś na twój temat, zrobić ci krzywdę, dojechać cię brutalnie rzecz biorąc, to w tym momencie okazuje się, że nie trzeba ci instalować Pegasusa, nie trzeba płacić dużo za licencję, po prostu wchodzi się do M-Obywatela i się to uruchamia.

No więc hipoteza, która tu jest przedstawiona przez interlokutora wygląda tak, że mamy jakiś centralny serwer, który łączy się z waszym telefonem, z aplikacją M-Obywatel i zdalnie jest w stanie w tej aplikacji powiedzieć, żeby zrobiła coś, że to będzie jakieś narzędzia do analizy tego, co się dzieje.

I ja wykonałem coś takiego w tak zwanym międzyczasie.

Następnie jak sobie ją pobierzemy i pokażę Wam na samym końcu, jak można się do tego dostać i jak sobie ją otworzycie.

No i tutaj pojawiła się taka informacja od jednego z interlokutorów, że mObywatel może kontrolować uruchomienie waszego systemu.