De testversie van de Britse corona-app die begin deze maand werd uitgerold op het eiland Wight blijkt contactgegevens niet op de telefoon te versleutelen en niet onafhankelijk te versleutelen voordat ze worden verstuurd. En er zijn nog meer problemen met de app gevonden die de Britse overheid zegt te zullen verhelpen.
De code van de "COVID-19 App" is open source en openbaar gemaakt. Sindsdien hebben allerlei onderzoekers zowel de code als de app onderzocht en meerdere problemen gevonden. "We vroegen om feedback en kregen feedback. Heel veel feedback", zegt Ian Levy, technisch directeur van het Britse National Cyber Security Centre.
Zo werden er problemen gevonden met het registratieproces, de bluetooth "broadcast values" van 24 uur waardoor het leefpatroon van de gebruiker inzichtelijk kan worden, de omgang met Cloudflare en het onversleuteld uploaden van logbestanden. Volgens Levy zijn veel van de problemen te verklaren doordat de app in een zeer kort tijdsbestek in elkaar is gezet.
De gevonden encryptieproblemen zijn hier een voorbeeld van. De bètaversie van de app versleutelt de gegevens van tegengekomen contacten niet op de telefoon. Daarnaast worden de gegevens niet onafhankelijk van elkaar versleuteld voordat ze naar de server worden gestuurd. Wanneer de data naar de backend wordt verstuurd is het alleen beschermd middels het TLS-protocol.
Cloudflare, dat door de Britse overheid wordt gebruikt, zou zo toegang tot de contactgegevens kunnen krijgen. Ook een aanvaller die het internetbedrijf weet te compromitteren kan inzage in de contactgegevens van zieke burgers krijgen. Levy benadrukt dat de Britse gezondheidszorg NHS beseft hoe belangrijk deze data is. "Maar het versleutelen van de contctlogs kon gewoon niet op tijd voor de bètaversie worden gedaan", aldus de directeur.
De Britse overheid zegt de gevonden problemen in een toekomstige versie te zullen verhelpen, waaronder het encryptieprobleem. Tevens zal er waarschijnlijk een backlog van openstaande problemen worden gepubliceerd, zodat onderzoekers weten welke zaken nog moeten worden verholpen. "Dit is waar goed beveiligingsonderzoek naar toe hoort te leiden: betere producten en diensten voor iedereen. We worden beter door peer review, van elkaar te leren en te accepteren wanneer dingen niet helemaal kloppen en ze dan te verhelpen", besluit Levy.
Deze posting is gelocked. Reageren is niet meer mogelijk.