Компания Halborn.com провела аудит приложения. Halborn является лидером в области кибербезопасности блокчейн, работая с 2019 года. Компания предлагает комплексный набор решений по безопасности для компаний, разрабатывающих приложения на блокчейнах.

Мобильное приложение

В результате аудита мобильного приложения не было выявлено, что какие-либо конфиденциальные данные хранятся на устройстве или передаются на удаленный сервер. В процессе аудита команда Халборна использовала инструменты перехвата трафика, которые позволяли отслеживать запросы и данные в этих запросах на всех этапах взаимодействий: от первого входа в приложение до проверки результатов голосования. Эти запросы были сделаны без отправки каких-либо конфиденциальных данных.

Также было выявлено несколько потенциальных проблем:

1. Приложение не проверяет был ли паспорт деактивирован государством. Отсутствие такой проверки позволяет одному пользователю проголосовать дважды, если государство выпустило ему новый паспорт по причине утери старого паспорта, а у старого паспорта не истек срок действия.
2. Отсутствие проверки отпечатка пальца или пароля для входа в приложение
3. Отсутствие дополнительной защиты от инженерного анализа приложения используя установку джейлбрейка и механизмов отладки приложения

Первая проблема не является критической в рамках нашего голосования.

Вторая и третья проблемы будут решены в ближайшее время.

Mobile App Audit (final).pdf

Русская версия полного аудита, переведенная через Google Translate:

Mobile App Audit (final) (1).pdf