Een securitytest van de 'corona-apps' die deze week door de overheid werden geselecteerd heeft meerdere kwetsbaarheden opgeleverd, waaronder het gebruik van hardcoded wachtwoorden waardoor er toegang kon worden verkregen tot databases en de achterliggende infrastructuur.
Dat staat in een rapport van KPMG, dat in opdracht van het ministerie van Volksgezondheid onderzoek deed naar de technische veiligheid en betrouwbaarheid van de geselecteerde 'corona-apps' en achterliggende systemen. Het ging om een gelimiteerde initiële penetratietest en een quickscan van de broncode. Voor de penetratietest stonden er verschillende vragen centraal, zoals de mogelijkheid voor een kwaadwillende om gevoelige informatie te bemachtigen door het ongeautoriseerd kunnen communiceren met de achterliggende infrastructuur van de applicatie.
Ook keken de onderzoekers of een aanvaller de achterliggende infrastructuur van de applicatie door het injecteren van kwaadaardige code zou kunnen compromitteren of ernstig verstoren, waardoor de beschikbaarheid, integriteit en vertrouwelijkheid van het systeem in het geding zou komen. Tevens werd er gekeken naar het manipuleren van de data in de achterliggende infrastructuur van de apps, waardoor er niet meer goed zou kunnen worden bepaald welke gebruikers corona hebben en welke niet.
Bij het broncode-onderzoek stonden andere vragen centraal, waaronder de kwaliteit van de broncode, het vinden van kwetsbaarheden door gebruik te maken van automatische tooling, de aanwezigheid van andere data-uitgangen in de broncode die niet in het ontwerp zijn gedefinieerd, de afhankelijkheid van de software van externe libraries en of de broncode is opgezet in lijn met verwachtingen vanuit de technische en functionele documentatie.
KPMG had de leveranciers van de zeven geselecteerde apps om technische documentatie, broncode, app en andere benodigde informatie gevraagd. Eén van de leveranciers voldeed hier niet aan en is niet in het onderzoek meegenomen. De namen van de leveranciers zijn niet bekendgemaakt en het nu gepubliceerde onderzoeksrapport bevat alleen algemene bevindingen.
Dat neemt niet weg dat de onderzoekers meerdere serieuze problemen hebben aangetroffen. Zo maken de ontwikkelaars van de apps over het algemeen geen gebruik van "secure coding" principes, waardoor bekende en te verwachten beveiligingsmaatregelen niet zijn geïmplementeerd. Dit geldt ook voor de achterliggende infrastructuur. "Hierdoor ontstaan (ernstige) kwetsbaarheden die eenvoudig voorkomen hadden kunnen worden", aldus de onderzoekers.
Verder blijkt dat de apps gebruikmaken van "hardcoded" wachtwoorden die leesbaar in de broncode staan. Met deze wachtwoorden kon er toegang worden verkregen tot databases en de achterliggende infrastructuur, inclusief datasets buiten het domein van de te testen corona-applicatie. Ook ontdekken de onderzoekers dat de achterliggende infrastructuur (inclusief de API) veel al zonder de benodigde identificatie/authenticatie is te misbruiken. Wanneer er wel beveiliging aanwezig is blijkt die eenvoudig te omzeilen. Een aanvaller kan zo toegang tot vertrouwelijke data krijgen of foutieve data opvoeren.
De apps blijken ook niet altijd uit te gaan van het principe om zo min mogelijk gevoelige gegevens op de telefoon van de eindgebruiker op te slaan. Wel opgeslagen data wordt daarbij onversleuteld opgeslagen. Wat de onderzoekers ook opvalt is dat de Android-apps om toegang tot onder andere de microfoon of foto's vragen. "De gewenste permissies zijn mogelijk te verklaren vanuit de gewenste functionaliteit maar de eindgebruiker zal dit naar waarschijnlijkheid ook wantrouwen en niet accepteren", zo merken ze op.
Uiteindelijk weten de onderzoekers bij slechts één van de zes leveranciers alle gestelde onderzoeksvragen te testen. KPMG stelt verder in het rapport dat het de gebruikte apps, de backend alsmede communicatie tussen de componenten vanwege de korte tijdsduur met een beperkte diepgang heeft kunnen onderzoeken. Het rapport bevat geen conclusie. Wel wordt het ministerie aangeraden dat een integraal security- en privacyonderzoek gericht op het gehele concept bestaande uit organisatie, processen en technologie van belang is voordat er tot een volledige implementatie wordt overgegaan (pdf).
Deze posting is gelocked. Reageren is niet meer mogelijk.