image

Kamervragen over beveiligingsadvies bluetooth en gebruik contact-tracing app

vrijdag 10 april 2020, 14:01 door Redactie, 8 reacties

In de Tweede Kamer zijn vragen gesteld over de voorgestelde contact-tracing app van de overheid die via bluetooth werkt en de beveiligingsrichtlijn en advies van het Nationaal Cyber Security Centrum (NCSC) waarin wordt aangeraden om bluetooth uit te schakelen als hier geen gebruik van wordt gemaakt.

Afgelopen dinsdag kondigde het kabinet aan dat het een contact-tracing app wil inzetten die bijhoudt met wie gebruikers in contact zijn gekomen en een waarschuwing kan geven als één van deze contacten met corona besmet is geraakt. Het bijhouden van contacten vindt plaats via bluetooth. De afgelopen jaren zijn echter verschillende ernstige kwetsbaarheden in bluetooth ontdekt waardoor aanvallers in het ergste geval volledige controle over toestellen zouden kunnen krijgen.

Alleen het ingeschakeld hebben staan van bluetooth zou voldoende zijn om met malware besmet te raken, waardoor aanvallers toegang tot vertrouwelijke informatie en bankgegevens zouden kunnen krijgen. Een bekende bluetooth-aanval was Blueborne. Na de aankondiging van deze aanval kregen smartphonegebruikers voor wie geen updates beschikbaar waren het advies van overheidsinstanties om bluetooth uit te schakelen.

Daarnaast geven zowel beveiligingsexperts als overheidsdiensten het advies om bluetooth standaard uit te schakelen als het niet wordt gebruikt. Zowel vanwege privacy als security. Het NCSC adviseert dit onder andere in de Factsheet "Veilig gebruik van smartphones en tablets" en de "Beveiligingsrichtlijnen voor mobiele apparaten".

Aanleiding voor 50Plus, ChristenUnie, D66, FvD, DENK, GroenLinks, PvdA, PvdD, PVV en SGP om minister De Jonge van Volksgezondheid, minister Dekker voor Rechtsbescherming en minister Knops van Binnenlandse Zaken om opheldering te vragen. "Hoe verhoudt het gebruik van bluetooth door deze apps zich tot de beveiligingsrichtlijnen van het Nationaal Cyber Security Centrum waarin staat: 'Schakel WiFi, Bluetooth en andere netwerkgroep uit'?", aldus de vraag van de Kamerleden.

Die willen daarnaast ook weten of er wetenschappelijke studies zijn die de noodzakelijkheid en effectiviteit van een dergelijke app aantonen, hoeveel mensen de app moeten installeren voordat die effectief is, of de broncode open source wordt, aan welke cyberveiligheidseisen de app moet voldoen, welke apps worden overwogen, hoe de ontwikkeling van dergelijke apps in andere EU-landen gaat en of beveiligingsexperts straks eventuele kwetsbaarheden kunnen rapporteren. De ministers hebben drie weken de tijd om de vragen te beantwoorden.

Reacties (8)
10-04-2020, 14:14 door Anoniem
Uitstekende newspost waar bijna niets meer aan toe te voegen valt.

Behalve dat ultrasone beaconing geen alternatief is omdat dit zelfs nog een attack vector toevoegt en constant moet 'meeluisteren' door de microfoon van het toestel.

En dat het feit dat het opensource zou kunnen zijn, niet betekent dat nu iedereen kan controleren wat de gedownloade binary uit de verschillende stores nu werkelijk op de achtergrond doet.
10-04-2020, 15:09 door Anoniem
Belangrijk is dat mensen die de app willen gebruiken dus eerst hun telefoon bijwerken naar de meeste recente ondersteunde versie. Met een ondersteunde versie waar deze kwetsbaarheden verholpen zijn lijkt mij het risico voldoende afgedekt. Als dat niet kan - wat het geval is bij veel android gebruikers - zou het advies moeten zijn om een nieuwe telefoon aan te schaffen. Spijtig maar waar, dat lijkt mij het enige goede advies wat dan gegeven kan worden. Met natuurlijk als gevolg dat veel mensen óf de app niet gaan installeren óf een hoger besmettings risico lopen op een digitaal virus.

Ik blijf overigens nog steeds voorstander van een contact tracing app, mits privacy vriendelijk, en hoop dat ook de mensen hier er gebruik van zullen maken als nut en noodzaak duidelijk zijn.
10-04-2020, 16:22 door Anoniem
Heee...D(raai)66 is ook opeens tegen! Nou, even wachten op de volgende D(raai) dan maar...
10-04-2020, 19:09 door soeperees
Door Anoniem:
Ik blijf overigens nog steeds voorstander van een contact tracing app, mits privacy vriendelijk, en hoop dat ook de mensen hier er gebruik van zullen maken als nut en noodzaak duidelijk zijn.

Ik niet omdat ik denk dat er gigantisch veel false positives uit gaan komen. Bluetooth heeft een bereik tot wel 10 meter. Als ik bij de bakker ben en bij de slager is er iemand besmet, moet ik twee weken in quarantaine? GPS en driepuntmeting zijn ook veel te onnauwkeurig hiervoor.

Ik snap de behoefte aan die data, maar een app is daarvoor niet het juiste middel.
10-04-2020, 22:17 door Anoniem
Sorry hoor "voor wie geen updates meer beschikbaar zijn" die horen zowieso niet aan het internet te hangen en dat ding alleen voor telefonie te gebruiken en niets anders
10-04-2020, 22:25 door Anoniem
Wat leuk dat de AH degenen die BT aan hebben staan ook al in hun panden trackt.
Dan kan Hugo de Jonge meteen rapporteren welke BT id's net iets te lang bij de vette producten in de schrappen staan te staren.
Of was dit nou juist de vervolgstap?? Even nog meer de gezondheid van de burgers 1 richting op sturen??

Hele ketens zijn er dus met BT te maken, de overheid kan daar dus niet nog een opzichzelfstaande analyse als een los eilandje voor eigen BT id tracking naast gaan plaatsen.
Dit naast dat BT id tracking natuurlijk sowieso al asociaal is.
10-04-2020, 22:26 door Anoniem
De Kamervragen zijn veel te beperkt. NIST heeft een standaard gemaakt voor Bluetooth.
Als je de NIST standaard er naast legt dan zijn er veel meer risico 's dan nu wordt beschreven.

https://csrc.nist.gov/publications/detail/sp/800-121/rev-2/final

Ook de Federal Communications Commissie (FCC) adviseert om Bluetooth uit te zetten.
14-04-2020, 16:56 door spatieman
Android en bluetooth die constant aan moet zijn, dat is vragen voor problemen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.