image

Apple en Google maken contactonderzoek-api openbaar voor overheden

vrijdag 22 mei 2020, 08:37 door Redactie, 9 reacties
Laatst bijgewerkt: 22-05-2020, 09:14

Apple en Google hebben hun contactonderzoek-api waar corona-apps gebruik van kunnen maken openbaar gemaakt voor overheden. Er gelden wel enkele voorwaarden voor het gebruik van de api. Zo mag de corona-app geen telefoonnummers en locatiegegevens verzamelen, is deelname vrijwillig en moeten gebruikers zelf bepalen om hun contactdata te delen.

De api van Apple en Google zorgt voor interoperabiliteit tussen Android- en iOS-toestellen die van bluetooth corona-apps gebruikmaken. Via de apps kunnen gebruikers hun contacten bijhouden en worden gewaarschuwd wanneer ze met een coronapatiënt in contact zijn gekomen of laten weten wanneer ze zelf besmet zijn geraakt. Ook de Nederlandse overheid gaat voor de nieuw te ontwikkelen corona-app van de api gebruikmaken.

In de aankondiging laten Apple en Google weten dat gebruik van de "Exposure Notifications" technologie opt-in is, het systeem geen locatiegegevens van het toestel verzamelt en wanneer iemand besmet blijkt te zijn het aan hem of haar is om dat via de bovenliggende corona-app te delen. Volgens de techbedrijven moeten deze maatregelen ervoor zorgen dat mensen beschikbare corona-apps ook daadwerkelijk gaan gebruiken.

De api is alleen beschikbaar voor goedgekeurde apps van gezondheidsautoriteiten die aan de gestelde eisen voldoen. App-ontwikkelaars moeten hiervoor een overeenkomst van de techbedrijven accepteren. "Er zullen beperkingen gelden voor de data die apps kunnen verzamelen wanneer ze van de API gebruikmaken, waaronder het niet kunnen benaderen van locatiediensten en beperkingen hoe de data is te gebruiken", aldus een uitleg van de techbedrijven.

Inmiddels zouden 23 landen interesse in de contactonderzoek-api hebben getoond. De corona-apps van sommige landen registreren echter het telefoonnummer van gebruikers en kunnen zodoende geen gebruik van de api maken. Ontwikkelaars van de Duitse, Oostenrijkse en Zwitserse corona-apps laten tegenover persbureau Reuters weten dat dit voor hun app geen probleem is.

Eerder waarschuwde Jaap-Henk Hoepman, universitair hoofddocent bij de Radboud Universiteit Nijmegen en privacyonderzoeker, op zijn persoonlijke blog dat de contactonderzoek-api een wolfs in schaapskleren is.

Reacties (9)
22-05-2020, 08:51 door linux4
Hoe kan een API zien of het door een app aangeroepen word welke wel of geen telefoonnummers en/of locatie data verzamelt? Die voorwaarde is toch niet softwarematig te controleren? Of zie ik dat verkeerd?
22-05-2020, 09:14 door [Account Verwijderd]
Door linux4: Hoe kan een API zien of het door een app aangeroepen word welke wel of geen telefoonnummers en/of locatie data verzamelt? Die voorwaarde is toch niet softwarematig te controleren? Of zie ik dat verkeerd?
De API calls gaan alleen werken voor applicaties op een allowlist. De apps zullen dus eerst door een (handmatige) review moeten om te bepalen of er locatiegegevens/telefoonnummers verzameld worden. Zie het dus als een uitgebreidere review die dan je normaal ondergaat als je een app in de Play Store/App Store wil aanbieden.
22-05-2020, 11:37 door Anoniem
Gokje: zo her en der slipt er een app doorheen en dan doen we een 'oops. sorry!'. En gaan gewoon verder met wat we aan het doen waren.
22-05-2020, 11:49 door souplost
Apple en Google hebben hun contactonderzoek-api waar corona-apps gebruik van kunnen maken openbaar gemaakt voor overheden.
Als het alleen voor overheden is is het niet openbaar.
22-05-2020, 12:47 door karma4
Door souplost: Als het alleen voor overheden is is het niet openbaar.
Het is voor overheden in te zien, voldoet aan de open source benadering.
Wat veel minder is dat overheden data moeten aanleveren aan Apple en Google zonder daar zelf controle over te hebben.
Het is de omgekeerde wereld. Je kunt Apple/Google als een invulling van Omnicorp zien. Slechte zaak die ontwikkeling.
22-05-2020, 13:58 door Anoniem
@karma4,

Open source op enkel op een "need to know" basis dus. De "zoveel-eyes" krijgen dat beperkte inzicht slechts.
Verder zal er wel een Amerikaans exportverbod gaan gelden.

Dan is niet alleen de invulling van globalistisch Omnicorp, dan is dat weer een voorbeeld van relatieve veiligheid via vaagheid. (security through obscurity).

Lees: https://www.darkreading.com/cloud/insecure-api-implementations-threaten-cloud/d/d-id/1137550

Onveilige interfaces zullen ons wel weer gaan opbreken. Kun je op wachten.
Zijn we het Cambridge Analytica drama al weer vergeten? De gebruiker vergeet snel.

Die er gigantisch van hebben geprofiteerd geenszins, die plannen op een flinke herhaling, mits onontdekt.

Wie trappen er steeds opnieuw weer in?
Re: https://nordicapis.com/5-major-modern-api-data-breaches-and-what-we-can-learn-from-them/

Mensen begrijpen nog steeds niet dat wij de regering zijn. De regering kan een app niet voor of tegen ons beschermen.
Dat ligt aan het vertrouwen van de eindgebruikers en die is in weerwil van de bewezen gang van zaken vaak grenzenloos.

Dit vaak ook bij gebrek aan een alternatief. Keer op keer wordt het vertrouwen van de eindgebruiker door zowel regering als groot-commercie weer geschonden en toch geven de onnozelen ze steeds opnieuw een hernieuwde kans.

Echte veiligheid is dubbelblind vastgestelde veiligheid en volledige transparentie.
Maar dat kunnen en willen betrokken partijen niet beloven, want dat schaadt hen in hun belangen.

Veiligheid wordt dus steeds een relatief veiligheidsbegrip. Garantie tot aan de installatie over het algemeen.
Je moet dus nu al gaan vrezen wat er met je data gebeurt en wie daarbij aan de knoppen draaien.

Ik vertrouw ze voor geen stuiver meer, trackrecord bewijst genoeg.

luntrus
22-05-2020, 16:15 door Anoniem
Door karma4:Wat veel minder is dat overheden data moeten aanleveren aan Apple en Google zonder daar zelf controle over te hebben. Het is de omgekeerde wereld. Je kunt Apple/Google als een invulling van Omnicorp zien. Slechte zaak die ontwikkeling.

Maar niet verbazingwekkend op een speelveld met maar enkele "mega-corporaties". Over nichemarkt gesproken.
Dat die corporaties daar dan vervolgens gebruik dan wel misbruikt van maken, is te verwachten.
En blijkbaar zijn overheden niet in bereid om (de macht van) die corporaties te breken.
Iets soortgelijks zie je in de gemeentelijke ICT markt (Centric/Pink) en de medicijnmarkt. Beide ook melkkoeien.
23-05-2020, 11:57 door Anoniem
We bevinden ons in een cyberwar wat betreft onze data. Dat geldt op alle niveau's.
Voor de IT beheerder die uw data moet beveiligen tegen "ja wat eigenlijk allemaal".
En hoe goed zijn ze daartoe in staat?

Hoe goed is uw website beveiligd op de achterliggende infrastructuur?

Hoe veilig zijn onze data tegen Big Tech slurpers and statelijke actoren/snoopers?
Waar kunnen cybercriminelen nog ongestoord hun gang gaan
of hebben al weer nieuwe wegen gebaand?

De oliehandel ligt op z'n r**t, maar de coke-bitcointjes rollen als nooit tevoor.
Cybercrime & Co ondervinden gouden dagen.

Uw rechten en vrijheden worden verder ingeperkt, uw plichten nemen navenant toe,
voor sommigen geldt dat echter geenszins.

Wat denkt men hier aan te gaan doen of wordt alles nog meer in onveilige zin op z'n kop gezet?
Wie beveiligt en bewaakt uw SSH sleutels? Wie bewaakt de cloud tegen grand abuse?

Wordt de gatenkaas niet eerder verder aangeboord?
Kan het Internet als het vergiet dat hun nu nadert te zijn, zo nog wel verder?
Of komt het bordje "Dit is het einde van Interwebz" nu zo langzaam aan wel eens een keer in zicht?
Het draait vaak nog onverklaarbaar dystopischer als ooit voort. Eigenlijk een mirakel.

Tal van prangende vragen.
Iemand met antwoorden?

luntrus
23-05-2020, 18:27 door Anoniem
Door iatomory:
Door linux4: Hoe kan een API zien of het door een app aangeroepen word welke wel of geen telefoonnummers en/of locatie data verzamelt? Die voorwaarde is toch niet softwarematig te controleren? Of zie ik dat verkeerd?
De API calls gaan alleen werken voor applicaties op een allowlist. De apps zullen dus eerst door een (handmatige) review moeten om te bepalen of er locatiegegevens/telefoonnummers verzameld worden. Zie het dus als een uitgebreidere review die dan je normaal ondergaat als je een app in de Play Store/App Store wil aanbieden.

Dus elke keer als als er een app wijzigt of bij komt dan moet het OS van alle smartphones geupdate worden (want deze controle wil je natuurlijk niet op dat moment doen door een lijst te (met kraakbare hashes) te downloaden waardoor je weer vatbaar bent voor een MITM aanval van een partij die je op dat moment een malafide app wil laten installeren.

Deze APP geeft in ieder geval overheden in bepaalde landen heel veel tools om smartphones van hun burgers ernstig uit te buiten. En dat kunnen natuurlijk ook burgers van andere landen zijn.

Een API is als een houten deur in een stenen fort; als je m niet wil gebruiken dan moet je m er ook niet in maken want dan is het alleen maar een zwakke plek. En hoeveel gebruikers staan nu werkelijk te trappelen om deze apps te gaan installeren...?

Van Google had je dit kunnen verwachten maar dat Apple nu voor een groot deel van de gebruikers dure iPhones onbruikbaar gaat maken (mensen kunnen geen beveiligingsupdates meer installeren omdat ze dan dit horror-framework erbij krijgen), zonder dit aan haar gebruikers te vragen dat gaat toch een stapje verder als ongevraagd muzieknummers toevoegen aan alle iTunes gebruikers. En dat terwijl de apps zonder API ook gewoon werken (die trappelende minderheid aan vrijwilligers moeten dan wel de app open laten, nou en..?)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.