image

Onderzoekers vinden kwetsbaarheden in gezondheidsapp Duitse RIVM

dinsdag 21 april 2020, 10:38 door Redactie, 4 reacties

Onderzoekers van de Duitse hackersclub CCC hebben verschillende kwetsbaarheden in de onlangs gelanceerde gezondheidsapp van het Robert Koch Instituut (RKI) ontdekt, het Duitse RIVM. De app heet "Corona-Datenspende" (Corona-Datadonatie) en moet worden gekoppeld aan een smartwatch of fitnesstracker.

Eenmaal actief verzamelt de app automatisch informatie over sportactiviteiten, slaap en slaappatronen, actieve periodes en rustperiodes. Ook de hartslag, hartritme, stressniveau, temperatuur, gewicht en bloeddruk worden automatisch opgeslagen. Gebruikers kunnen er zelf voor kiezen om hun leeftijd, lengte, geslacht en gewicht op te geven. Verder moet voor het gebruik van de app de postcode worden ingevoerd.

Volgens het RKI maken veel mensen in Duitsland gebruik van fitnesstrackers en smartwatches om hun gezondheid te monitoren. Wanneer ze ziek worden zullen deze gegevens veranderen. "Dit houdt in dat typische Covid-19-symptomen zoals koorts ook via de app zijn te detecteren", aldus het instituut in de aankondiging begin deze maand.

Met de informatie wil het RKI uiteindelijk op postcodeniveau de verspreiding van potentieel geïnfecteerde personen gaan weergeven. Zo moet sneller duidelijk worden waar infecties zich voordoen en hoe effectief genomen maatregelen zijn. Het instituut laat verder weten dat alle data wordt gepseudonimiseerd en niet geanonimiseerd. Meer dan 400.000 mensen zouden inmiddels van de app gebruikmaken.

Onderzoek

Het RKI heeft de broncode van de app niet vrijgegeven. Via een "blackbox-analyse" wisten onderzoekers van de CCC de app te analyseren en ontdekten verschillende problemen. Zo is de pseudonimisering onvoldoende. De gevoelige gezondheidsgegevens van gebruikers worden namelijk niet op de smartphone gepseudonimiseerd, maar aan de kant van het RKI. Alle data inclusief echte namen worden naar het instituut gestuurd en daar gepseudonimiseerd, zonder dat gebruikers dit kunnen controleren.

Verder blijkt dat het RKI de data direct bij de aanbieder van de fitnesstracker ophaalt en niet van de smartphone van gebruikers. Zo heeft het instituut in potentie toegang tot de echte naam van de gebruiker en diens gezondheidsgegevens voordat het "doneren" van de data begint, waarbij de gebruikers een toegangscode moet opgeven. Deze toegang van het RKI blijft ook na het verwijderen van de app bestaan. Daarnaast is ingevoerde data kwetsbaar voor man-in-the-middle-aanvallen. Verder stellen de onderzoekers dat het RKI geen effectieve toestemming krijgt voor het verwerken van de data, omdat het niet kan garanderen dat de gebruiker van wie data wordt verwerkt ook daadwerkelijk de gebruiker in kwestie is.

Volgens de CCC heeft het RKI bij de ontwikkeling van de app verschillende "best practices" geschonden en moeten de aanbevolen herstelmaatregelen zo snel als mogelijk worden doorgevoerd. De hackersclub heeft de bevindingen met het RKI gedeeld en is nu met het instituut in overleg. "Het verwaarlozen van de digitalisering in de gezondheidszorg in de afgelopen vijftien jaar heeft het veel lastiger gemaakt om dit soort apps snel en effectief te kunnen gebruiken", zo concludeert de CCC.

Image

Reacties (4)
21-04-2020, 11:57 door spatieman
nicht mekkeren, installieren die dreks app !.
en ook onze app,kuch, zit vol met fouten, hmm, misschien wel door de zelfde persoon gemaakt ?
21-04-2020, 12:10 door Anoniem
Door spatieman: nicht mekkeren, installieren die dreks app !.
en ook onze app,kuch, zit vol met fouten, hmm, misschien wel door de zelfde persoon gemaakt ?

En dan dit:

https://www.nu.nl/tech/6046115/frankrijk-vraagt-apple-ios-beveiliging-uit-te-zetten-voor-corona-app.html
21-04-2020, 12:28 door Anoniem
Door spatieman: nicht mekkeren, installieren die dreks app !.
en ook onze app,kuch, zit vol met fouten, hmm, misschien wel door de zelfde persoon gemaakt ?

Misschien even een app installeren om te zien of je met die kuch niet besmet bent?

Ik denk niet dat er al een "onze app" is, of weet jij meer?
22-04-2020, 08:19 door spatieman
Door Anoniem:
Door spatieman: nicht mekkeren, installieren die dreks app !.
en ook onze app,kuch, zit vol met fouten, hmm, misschien wel door de zelfde persoon gemaakt ?

Misschien even een app installeren om te zien of je met die kuch niet besmet bent?

Ik denk niet dat er al een "onze app" is, of weet jij meer?

nog niet, maar dat ding komt er ,vrijwillig of niet, dat dingt komt er..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.