Testversie Britse corona-app versleutelt contactgegevens niet
De testversie van de Britse corona-app die begin deze maand werd uitgerold op het eiland Wight blijkt contactgegevens niet op de telefoon te versleutelen en niet onafhankelijk te versleutelen voordat ze worden verstuurd. En er zijn nog meer problemen met de app gevonden die de Britse overheid zegt te zullen verhelpen.
De code van de "COVID-19 App" is open source en openbaar gemaakt. Sindsdien hebben allerlei onderzoekers zowel de code als de app onderzocht en meerdere problemen gevonden. "We vroegen om feedback en kregen feedback. Heel veel feedback", zegt Ian Levy, technisch directeur van het Britse National Cyber Security Centre.
Zo werden er problemen gevonden met het registratieproces, de bluetooth "broadcast values" van 24 uur waardoor het leefpatroon van de gebruiker inzichtelijk kan worden, de omgang met Cloudflare en het onversleuteld uploaden van logbestanden. Volgens Levy zijn veel van de problemen te verklaren doordat de app in een zeer kort tijdsbestek in elkaar is gezet.
De gevonden encryptieproblemen zijn hier een voorbeeld van. De bètaversie van de app versleutelt de gegevens van tegengekomen contacten niet op de telefoon. Daarnaast worden de gegevens niet onafhankelijk van elkaar versleuteld voordat ze naar de server worden gestuurd. Wanneer de data naar de backend wordt verstuurd is het alleen beschermd middels het TLS-protocol.
Cloudflare, dat door de Britse overheid wordt gebruikt, zou zo toegang tot de contactgegevens kunnen krijgen. Ook een aanvaller die het internetbedrijf weet te compromitteren kan inzage in de contactgegevens van zieke burgers krijgen. Levy benadrukt dat de Britse gezondheidszorg NHS beseft hoe belangrijk deze data is. "Maar het versleutelen van de contctlogs kon gewoon niet op tijd voor de bètaversie worden gedaan", aldus de directeur.
De Britse overheid zegt de gevonden problemen in een toekomstige versie te zullen verhelpen, waaronder het encryptieprobleem. Tevens zal er waarschijnlijk een backlog van openstaande problemen worden gepubliceerd, zodat onderzoekers weten welke zaken nog moeten worden verholpen. "Dit is waar goed beveiligingsonderzoek naar toe hoort te leiden: betere producten en diensten voor iedereen. We worden beter door peer review, van elkaar te leren en te accepteren wanneer dingen niet helemaal kloppen en ze dan te verhelpen", besluit Levy.
Als je security niet in het eerste ontwerp en bouw hebt meegenomen, is het vaak zoveel werk om een redelijk niveau van beveiliging er achteraf in te prakken, dat je beter helemaal overnieuw kunt beginnen. Een blunder wat mij betreft.
Nou maar hopen dat de mensen die aan de Nederlandse app werken, wel verstand hebben van security en dat zij zich, omwille van "haast", niet laten overhalen om beveiligingsmaatregelen uit te stellen tot (n)ooit. Uit https://www.rijksoverheid.nl/onderwerpen/coronavirus-app/tijdpad-proces-coronavirus-app:
Dirk-Willem van Gulik (Backend)
Edo Plantinga (Open source community management)
Hugo Visser (Ontwikkelaar Android)
Ivo Jansch (Technisch architect)
Jelle Prins, Jasper Hauser, Emiel Janson en Joris Leker (Design)
Begeleidingscommissie
Het ministerie van Volksgezondheid, Welzijn en Sport stelt een begeleidingscommissie samen die de overheid adviseert. In deze begeleidingscommissie zitten verschillende deelnemers met kennis van bijvoorbeeld epidemiologie, virologie, technologie, privacy en veiligheid.
Van de effectiviteit van Bluetooth voor een Corona-tracing-app hebben genoemde experts (en de niet bij naam genoemde leden van de begeleidingscommissie) in elk geval geen verstand. Want dan zouden genoemde experts (tenzij ze om inkomsten verlegen zaten) niet in dit zinloze avontuur zijn gestapt - dat ook nog eens veel te weinig gebruikers zal krijgen. Op Bluetooth gebaseerde tracing-apps zullen, bij de volgende SARS-COV-2 uitbraken, een druppel op een gloeiende plaat blijken te zijn - als ze netto al een positief effect zullen hebben.
Ik vind het zonde dat er tijd, geld en expertise wordt verspild aan dit soort apps, in plaats van oplossingen te realiseren die wel een flinke toegevoegde waarde kunnen hebben.
Als je security niet in het eerste ontwerp en bouw hebt meegenomen, is het vaak zoveel werk om een redelijk niveau van beveiliging er achteraf in te prakken, dat je beter helemaal overnieuw kunt beginnen. Een blunder wat mij betreft.
….
Daarnaast, corona is bedreigend voor de economie en niet zo een klein beetje ook. Dus gevaarlijk voor de staat.
Dan mogen gewoon geheime diensten overal in. En die mochten dat altijd al. Al die features op mobieltjes zijn ook vooral bedacht voor die jongens. Dus laat ze het dan maar gebruiken waar het voor bedacht is om iemands omgeving in kaart te brengen. dat konden ze vroeger ook al perfect als iemand al dacht dat je misschien communistitis had. En dat ging prima zonder app.
Waarom dan een app?
Als het niet staatsgevaarlijk is, dan kun je de gewone normen en waarden toepassen: Gewoon netjes vragen. In plaats van alle contacten uit een telefoon te rossen, versleuteld of niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
