image

EFF: systeem Apple en Google voor contactonderzoek kwetsbaar voor aanvallen

woensdag 29 april 2020, 16:45 door Redactie, 9 reacties

Het systeem dat Apple en Google samen ontwikkelen en moet helpen bij het onderzoek naar de contacten van coronapatiënten is kwetsbaar voor misbruik en aanvallen, wat tot valse positieven en surveillance kan leiden, zo stelt de Amerikaanse burgerrechtenbeweging EFF.

Beide techbedrijven komen binnenkort met een programmeerinterface (API) die voor interoperabiliteit tussen Android- en iOS-toestellen zorgt die van bluetooth contactonderzoekapps gebruikmaken. Via de API kunnen dergelijke apps de bluetooth-radio gebruiken en zo bijhouden met wie de gebruiker in contact is gekomen. In juni wordt bluetooth contact tracing direct in Android en iOS verwerkt. Dit zal via een update gebeuren.

De technologie van Apple en Google laat elke telefoon dagelijks een nieuwe privésleutel genereren, ook bekend als een "temporary exposure key". Aan de hand van deze sleutel worden willekeurige identificatiegetallen gegenereerd, genaamd "rolling proximity identifiers" (RPIDs). Wanneer bluetooth staat ingeschakeld verstuurt de telefoon elke vijf minuten een ping met het huidige RPID, dat elke tien tot twintig minuten verandert. Dit moet voorkomen dat third-party trackers de pings kunnen gebruiken om mensen aan de hand van een statisch RPID te volgen.

De temporary exposure keys en alle RPIDs die de telefoon onderweg is tegengekomen worden voor een periode van twee weken op de telefoon bewaard. Wanneer een gebruiker met corona besmet blijkt te zijn kan die zijn temporary exposure keys uploaden. Vervolgens kunnen deze keys worden gebruikt om gebruikers met wie de patiënt in contact is gekomen te waarschuwen.

Bedenkingen

De EFF heeft de nodige bedenkingen over de plannen van Apple en Google. Zo hebben niet alle mensen een smartphone en is bluetooth niet voor contactonderzoek ontwikkeld. Daarnaast versturen telefoons in het huidige voorstel van Apple en Google elke vijf minuten een ping. Pas als mensen de vereiste tijd bij elkaar in de buurt zijn geweest worden ze als contact geregistreerd.

Daarnaast is de technologie ook kwetsbaar voor aanvallen, waarbij aanvallers gebaseerd op vastgelegde pings iemands identiteit en bewegingspatroon zouden kunnen achterhalen. Politie zou de contactdata kunnen gebruiken om te kijken wie met wie in contact is gekomen en zo bijvoorbeeld relaties tussen bepaalde personen vastleggen. Volgens de EFF zouden mensen de optie moeten hebben om de app tijdelijk uit te schakelen en nabijheidsdata van bepaalde momenten te verwijderen.

Een ander probleem is dat erop dit moment geen manier is om te verifiëren dat het toestel dat een RPID verstuurt ook daadwerkelijk het toestel is dat het genereerde. "Trollen zouden de RPIDs van anderen kunnen verzamelen en die als hun eigen RPID opnieuw kunnen uitzenden", laat de EFF weten. De burgerrechtenbeweging schetst een scenario waarbij er een netwerk van bluetooth beacons op een drukke straat wordt neergezet die alle RPIDs die ze zien opnieuw als hun eigen RPID uitzenden. Iemand die langs zo'n "fout" bluetooth beacon loopt zou alle RPIDs loggen van iedereen die in de buurt van één van de andere foute beacons was. Dit zou voor zeer veel valse positieven kunnen zorgen en het vertrouwen in corona-apps kunnen ondermijnen, waarschuwt de EFF.

"Contactonderzoek dat door een app wordt ondersteund heeft serieuze beperkingen, en we weten nog niet hoeveel het oplevert. Als Apple en Google dit grote sociale experiment leiden, moeten ze het op zo'n manier doen dat de privacyrisico's tot een absoluut minimum worden beperkt, en als ze willen slagen, moeten ze het vertrouwen van het publiek zien te winnen en behouden", zegt Bennett Cyphers van de EFF.

Image

Reacties (9)
29-04-2020, 17:01 door Anoniem
Goed dat hier kritisch naar gekeken wordt. Privacy is altijd een afweging van belangen en het is dan ook belangrijk dat mensen zelf controle houden over hun data. Apple heeft al aangegeven dat de gebruiker zelf dit met een instelling aan en uit kan zetten en ze hadden eerder ook gezegd dat bij het verwijderen van de app de gegevens ook verwijderd worden. Dat dekt de door EFF genoemde punten deels af.

Het belangrijkste bezwaar blijft dat het systeem moeilijk betrouwbaar te maken is omdat Bluetooth hier niet voor ontworpen is.

Daarnaast is het nog onduidelijk hoe dit schaalt bij een forse uitbraak, hoe ga je dan honderden miljoenen identifiers uitwisselen?
29-04-2020, 18:55 door Anoniem
Door Anoniem: Het belangrijkste bezwaar blijft dat het systeem moeilijk betrouwbaar te maken is omdat Bluetooth hier niet voor ontworpen is.

De nauwkeurigheid van een afstandsmeting met BLE-beacons valt nog aanmerkelijk te verbeteren door die techniek te combineren met ultrasone audiobakens. Dat kan ook de aantallen valspositieven en valsnegatieven sterk verminderen. De techniek is er wel degelijk ooit voor ontworpen, alleen wordt die nu uit noodzaak versneld verder uitontwikkeld.

Daarnaast is het nog onduidelijk hoe dit schaalt bij een forse uitbraak, hoe ga je dan honderden miljoenen identifiers uitwisselen?

Vraag dat maar aan de sterrenkundigen, met hun glasvezels. Die wisselen onderling terabytes per seconde aan gegevens uit. Daarbij vergeleken zijn de gegevens van van zo'n app een peuleschil. Het stelt qua internet bandbreedte niets voor. Los daarvan: die apps werken per land of regio, dus binnen de nationale telecom netwerken.
29-04-2020, 20:08 door Anoniem
Daarnaast is de technologie ook kwetsbaar voor aanvallen, waarbij aanvallers gebaseerd op vastgelegde pings iemands identiteit en bewegingspatroon zouden kunnen achterhalen
Dat is wel erg lastig: stel een aanvaller kan met een groot aantal "Bluetooth sniffers" in een bepaald gebied "rolling proximity identifiers (RPIDs)" ontvangen. De lokatie van de "sniffer" en tijd van ontvangst van ieder RFID zijn ook bekend en worden ook opgeslagen. Dat is niet te voorkomen. Maar dan, de aanvaller haalt de "sniffers" leeg, en wat kan je vervolgens met die gegevens?

De RPID's zijn versleuteld (met AES 256 meen ik) en wijzigen iedere 20 minuten.
- Als je de RPID niet ontsleutelt kan je het "spoor" dus maar maximaal 20 minuten volgen, daarna is het ("rolling") alweer gewijzigd in een andere RPID.
- Als je er wel in slaagt deze RPID te decrypten heb je alleen de anonieme "Corona-ID" die niet te herleiden is tot een persoon of een apparaat. Het "spoor" is dan te volgen langs de lokaties van de "sniffers", dus hoe meer "sniffers" hoe beter het spoor te volgen is. Om dat tegen te gaan is een maximaal veilige encryptie een noodzaak.
- Deze opzet gaat ervan uit dat Google+Apple inderdaad een decentraal systeem opzetten analoog aan DP3T zodat de uitgezonden RPID's alleen op de smartphone van een deelnemer zijn opgeslagen. En op de "sniffer" in dit voorbeeld.
According to Google, the firms' approach was based on the DP-3T protocol also created during the 2019–20 coronavirus pandemic
https://en.wikipedia.org/wiki/Google_/_Apple_contact_tracing_project
DP3T heeft geen centrale database met RPID's. Het is een decentraal platform, de naam zegt het al:
https://en.wikipedia.org/wiki/Decentralized_Privacy-Preserving_Proximity_Tracing

Of Apple en Google inderdaad het DP3T protocol volledig hebben gevolgd, kan alleen maar gecontroleerd worden als zij de broncode van hun API open source aanbieden.
Of totdat een tweede Edward Snowden opduikt die het tegendeel kan bewijzen, maar dan is het ook definitief gedaan met het vertrouwen. De EU zou hier een forse sanctie op moeten zetten, met een boete van miljarden euro's.

Het lijkt mij voor Google en Apple, als zij Bluetooth contactgegevens willen misbruiken, makkelijker om een centraal platform in te richten met contactgegevens, en dan daarvan de centrale database te decrypten. Maar dan hebben ze dus geen Decentraal P3T protocol gevolgd in tegenspraak met hun beweringen.

Of Google en Apple voorzien iedere smartphone met een backdoor als "Bluetoothsniffer", dan verkrijgen ze iets nauwkeuriger contactgegevens vergeleken met de lokatiegegevens gebaseerd op GPS of Wifi- SSID's die ze nu kunnen verzamelen. Een "zichtbaar Bluetooth beacon" als onderdeel van de Corona-API, en een "backdoor Bluetooth sniffer" in hetzelfde apparaat verborgen. Dat is spelen met vuur, en een tweede Snowden is dan ook desastreus.

Huib Modderkolk, onderzoeksjournalist van de Volkskrant, zei gisteren in het talkprogramma Op1 ongeveer het volgende: "Apple en Google kunnen ook veel winnen in deze Corona-tijd, door een functionele Corona-App te bouwen die alleen doet wat hij moet doen".

Namelijk de GGD een beetje helpen bij hun Bron- en Contactonderzoek BCO, om zo de R0 van dit vreselijke virus onder de 1 te houden. Zodat wij ons een beetje intelligent van de "Intelligente Lockdown" kunnen losmaken. Een "Intelligente Open-up" die niet weer direct tot overvolle IC's leidt, en een beetje toegenomen vertrouwen in Apple en Google.
29-04-2020, 20:33 door Anoniem
Gezien de enorme hoeveelheid bugs in Bluetooth radiomodules, Android en iOS is dit toch wel een enorm risico.

Is het met deze API nog wel mogelijk om Bluetooth uitgeschakeld te hebben? In iOS is het juist een beveiligingsfeature dat Bluetooth niet op de achtergrond kan werken. Deze beveiliging gaat Apple er dus nu uitslopen... Gaat het OS straks via de API toch periodiek scannen ook als iemand geen app heeft geïnstalleerd (anders heeft het geen nu om het in het OS te bouwen en is er onvoldoende bereik) en zet daarmee dus het zeer kwetsbare Bluetooth aan en eventuele bugs in de API laten het aanstaan.

Ja tuurlijk, alleen apps van gezondheidsinstanties mogen nu hardware van je toestel beheren (wat sluipt er nog meer in later, een API voor verzamelde gezondheidsgegeven m.b.v. andere sensoren in het toestel?). Maar wat als een willekeurige kwaadaardige app via gestolen certificaten nu via de API stilletjes Bluetooth kan gebruiken: dan hebben (bedrijfs)spionnen wel een ultieme toolbox gekregen.

Van Google had ik dit wel verwacht maar dat Apple nu besluit een framework te bouwen en voorgoed in iOS te laten rondslingeren dat valt me echt vies tegen van dit tot bedrijf. Nu kan je de radiomodules uit je toestel slopen (waardoor je toestel praktish waardeloos wordt als smartphone) en iOS niet meer updaten (wat geen optie is met ernstige bugs zoals b.v. recent in hun mailclient), maar op de lange termijn kan Apple zich blijkbaar niet meer onderscheiden van Google.
30-04-2020, 05:38 door [Account Verwijderd]
HOE KAN HET ZIJN DAT ZELFS EEN API BUGS BEVAT??

Met een API bedoel ik zoiets als een header file van C. Dit klopt toch, niet? Dus wat voor informatie bevat die software zodat het niet alleen een API is of blijkt te zijn?

Wat zijn die koekenbakkers aan het doen daar in de VS?
30-04-2020, 09:45 door Anoniem
Ik vraag me af: als ik dan (in de toekomst) op mijn smartphone de BT UIT zet, is die dan ook werkelijk "uit"? Of krijg ik dan mogelijk toch maar een "fake" schermpje?
En, is de phone echt uit als ik hem op uit zet?? En de batterij eruit verwijderen gaat ook al niet meer.

Ik ben echt niet paranoid maar ik stop met mijn smartphone, echt!
30-04-2020, 10:46 door Anoniem
Door Anoniem: Ik vraag me af: als ik dan (in de toekomst) op mijn smartphone de BT UIT zet, is die dan ook werkelijk "uit"? Of krijg ik dan mogelijk toch maar een "fake" schermpje?
En, is de phone echt uit als ik hem op uit zet?? En de batterij eruit verwijderen gaat ook al niet meer.

Ik ben echt niet paranoid maar ik stop met mijn smartphone, echt!

En ook, waarom werkt een tactiek van "rolling proximity identifiers" (RPIDs)." dus überhaupt 100% betrouwbaar?
Veel technieken en protocollen die denkbaar zijn voor identificeren van toestellen WAREN al haast aan de lopende band hackbaar en manipuleerbaar.
Dat Google/Apple dan met 1 van de techniek en protocol combinaties - bluetooth - dan ook in hun eigen valkuilen vallen is dan ook volstrekt voorspelbaar.
Het is veelzeggend en veelbetekenend dat een burgerrechten organisatie er EXTRA demonstraties voor toepassingen ervan moet publiceren.
Met het hoofd steeds meters-diep in bergen van techniek en een hoop ge-tinker worden langdurig incompleet gefabriceerde gereedschappen niet opeens wel geschikt.
30-04-2020, 11:10 door Rogier de Wit
Door Anoniem: Is het met deze API nog wel mogelijk om Bluetooth uitgeschakeld te hebben?

Yes, Apple en Google hebben zelfs expliciet aangegeven dat dit alles enkel opt-in werkt. Dus als je het niet wilt, schakel je het gewoon niet in. Bovendien kan deze API alleen aangesproken worden door goedgekeurde overheids-apps.

Andere APIs in je telefoon kunnen al veel indringendere privacy-zaken doen, zoals al je contacten uitlezen, SMSjes sturen namens jou, en op de achtergrond je exacte GPS positie tracken. Maar ook dat zijn maar APIs, het zijn apps die (na je goedkeuring) er wel of niet wat mee doen. Denk aan Facebook, WhatsApp een Google Maps. Ik denk dat deze nieuwe API relatief privacy vriendelijk is, als je hem vergelijkt met de andere apps en APIs die al sinds jaar en dag in je telefoon zitten.
30-04-2020, 19:01 door Anoniem
Volgens mij heeft EFF nog maar gedeeltelijk door hoe het gaat werken.
Laat ze dus eerst dit eens goed lezen, voordat ze onterecht over van alles en nog wat gaan mauwen.

https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ExposureNotification-FAQv1.0.pdf
https://blog.google/documents/62/Exposure_Notification_-_Bluetooth_Specification_v1.1.pdf

Daarmee is de spreekwoordelijke hete soep alweer een stuk afgekoeld.
Er blijven een paar issues over die EFF terecht noemt, hoewel het niet is in te schatten hoeveel last men daar van zal hebben. (kan tussen de grote getallen best meevallen).
En niet alles wat theoretisch mogelijk is, is overal de praktijk.
Vooral als het gestoord is om de kosten ervoor te maken en het daadwerkelijk te gaan doen, terwijl men er geen enkel voordeel van heeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.