Apple en Google maken contactonderzoek-api openbaar voor overheden
Apple en Google hebben hun contactonderzoek-api waar corona-apps gebruik van kunnen maken openbaar gemaakt voor overheden. Er gelden wel enkele voorwaarden voor het gebruik van de api. Zo mag de corona-app geen telefoonnummers en locatiegegevens verzamelen, is deelname vrijwillig en moeten gebruikers zelf bepalen om hun contactdata te delen.
De api van Apple en Google zorgt voor interoperabiliteit tussen Android- en iOS-toestellen die van bluetooth corona-apps gebruikmaken. Via de apps kunnen gebruikers hun contacten bijhouden en worden gewaarschuwd wanneer ze met een coronapatiënt in contact zijn gekomen of laten weten wanneer ze zelf besmet zijn geraakt. Ook de Nederlandse overheid gaat voor de nieuw te ontwikkelen corona-app van de api gebruikmaken.
In de aankondiging laten Apple en Google weten dat gebruik van de "Exposure Notifications" technologie opt-in is, het systeem geen locatiegegevens van het toestel verzamelt en wanneer iemand besmet blijkt te zijn het aan hem of haar is om dat via de bovenliggende corona-app te delen. Volgens de techbedrijven moeten deze maatregelen ervoor zorgen dat mensen beschikbare corona-apps ook daadwerkelijk gaan gebruiken.
De api is alleen beschikbaar voor goedgekeurde apps van gezondheidsautoriteiten die aan de gestelde eisen voldoen. App-ontwikkelaars moeten hiervoor een overeenkomst van de techbedrijven accepteren. "Er zullen beperkingen gelden voor de data die apps kunnen verzamelen wanneer ze van de API gebruikmaken, waaronder het niet kunnen benaderen van locatiediensten en beperkingen hoe de data is te gebruiken", aldus een uitleg van de techbedrijven.
Inmiddels zouden 23 landen interesse in de contactonderzoek-api hebben getoond. De corona-apps van sommige landen registreren echter het telefoonnummer van gebruikers en kunnen zodoende geen gebruik van de api maken. Ontwikkelaars van de Duitse, Oostenrijkse en Zwitserse corona-apps laten tegenover persbureau Reuters weten dat dit voor hun app geen probleem is.
Eerder waarschuwde Jaap-Henk Hoepman, universitair hoofddocent bij de Radboud Universiteit Nijmegen en privacyonderzoeker, op zijn persoonlijke blog dat de contactonderzoek-api een wolfs in schaapskleren is.
Wat veel minder is dat overheden data moeten aanleveren aan Apple en Google zonder daar zelf controle over te hebben.
Het is de omgekeerde wereld. Je kunt Apple/Google als een invulling van Omnicorp zien. Slechte zaak die ontwikkeling.
Open source op enkel op een "need to know" basis dus. De "zoveel-eyes" krijgen dat beperkte inzicht slechts.
Verder zal er wel een Amerikaans exportverbod gaan gelden.
Dan is niet alleen de invulling van globalistisch Omnicorp, dan is dat weer een voorbeeld van relatieve veiligheid via vaagheid. (security through obscurity).
Lees: https://www.darkreading.com/cloud/insecure-api-implementations-threaten-cloud/d/d-id/1137550
Onveilige interfaces zullen ons wel weer gaan opbreken. Kun je op wachten.
Zijn we het Cambridge Analytica drama al weer vergeten? De gebruiker vergeet snel.
Die er gigantisch van hebben geprofiteerd geenszins, die plannen op een flinke herhaling, mits onontdekt.
Wie trappen er steeds opnieuw weer in?
Re: https://nordicapis.com/5-major-modern-api-data-breaches-and-what-we-can-learn-from-them/
Mensen begrijpen nog steeds niet dat wij de regering zijn. De regering kan een app niet voor of tegen ons beschermen.
Dat ligt aan het vertrouwen van de eindgebruikers en die is in weerwil van de bewezen gang van zaken vaak grenzenloos.
Dit vaak ook bij gebrek aan een alternatief. Keer op keer wordt het vertrouwen van de eindgebruiker door zowel regering als groot-commercie weer geschonden en toch geven de onnozelen ze steeds opnieuw een hernieuwde kans.
Echte veiligheid is dubbelblind vastgestelde veiligheid en volledige transparentie.
Maar dat kunnen en willen betrokken partijen niet beloven, want dat schaadt hen in hun belangen.
Veiligheid wordt dus steeds een relatief veiligheidsbegrip. Garantie tot aan de installatie over het algemeen.
Je moet dus nu al gaan vrezen wat er met je data gebeurt en wie daarbij aan de knoppen draaien.
Ik vertrouw ze voor geen stuiver meer, trackrecord bewijst genoeg.
luntrus
Maar niet verbazingwekkend op een speelveld met maar enkele "mega-corporaties". Over nichemarkt gesproken.
Dat die corporaties daar dan vervolgens gebruik dan wel misbruikt van maken, is te verwachten.
En blijkbaar zijn overheden niet in bereid om (de macht van) die corporaties te breken.
Iets soortgelijks zie je in de gemeentelijke ICT markt (Centric/Pink) en de medicijnmarkt. Beide ook melkkoeien.
Voor de IT beheerder die uw data moet beveiligen tegen "ja wat eigenlijk allemaal".
En hoe goed zijn ze daartoe in staat?
Hoe goed is uw website beveiligd op de achterliggende infrastructuur?
Hoe veilig zijn onze data tegen Big Tech slurpers and statelijke actoren/snoopers?
Waar kunnen cybercriminelen nog ongestoord hun gang gaan
of hebben al weer nieuwe wegen gebaand?
De oliehandel ligt op z'n r**t, maar de coke-bitcointjes rollen als nooit tevoor.
Cybercrime & Co ondervinden gouden dagen.
Uw rechten en vrijheden worden verder ingeperkt, uw plichten nemen navenant toe,
voor sommigen geldt dat echter geenszins.
Wat denkt men hier aan te gaan doen of wordt alles nog meer in onveilige zin op z'n kop gezet?
Wie beveiligt en bewaakt uw SSH sleutels? Wie bewaakt de cloud tegen grand abuse?
Wordt de gatenkaas niet eerder verder aangeboord?
Kan het Internet als het vergiet dat hun nu nadert te zijn, zo nog wel verder?
Of komt het bordje "Dit is het einde van Interwebz" nu zo langzaam aan wel eens een keer in zicht?
Het draait vaak nog onverklaarbaar dystopischer als ooit voort. Eigenlijk een mirakel.
Tal van prangende vragen.
Iemand met antwoorden?
luntrus
Dus elke keer als als er een app wijzigt of bij komt dan moet het OS van alle smartphones geupdate worden (want deze controle wil je natuurlijk niet op dat moment doen door een lijst te (met kraakbare hashes) te downloaden waardoor je weer vatbaar bent voor een MITM aanval van een partij die je op dat moment een malafide app wil laten installeren.
Deze APP geeft in ieder geval overheden in bepaalde landen heel veel tools om smartphones van hun burgers ernstig uit te buiten. En dat kunnen natuurlijk ook burgers van andere landen zijn.
Een API is als een houten deur in een stenen fort; als je m niet wil gebruiken dan moet je m er ook niet in maken want dan is het alleen maar een zwakke plek. En hoeveel gebruikers staan nu werkelijk te trappelen om deze apps te gaan installeren...?
Van Google had je dit kunnen verwachten maar dat Apple nu voor een groot deel van de gebruikers dure iPhones onbruikbaar gaat maken (mensen kunnen geen beveiligingsupdates meer installeren omdat ze dan dit horror-framework erbij krijgen), zonder dit aan haar gebruikers te vragen dat gaat toch een stapje verder als ongevraagd muzieknummers toevoegen aan alle iTunes gebruikers. En dat terwijl de apps zonder API ook gewoon werken (die trappelende minderheid aan vrijwilligers moeten dan wel de app open laten, nou en..?)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
