Een bluetooth-gerelateerde kwetsbaarheid in verschillende corona-apps, waaronder die van Australië en Singapore, maakt het mogelijk voor aanvallers om gebruikers gedurende lange tijd te volgen, zelfs wanneer de app is verwijderd. Dat hebben onderzoekers aangetoond.
Het beveiligingslek in de Androidversie van de Australische COVIDSafe-app wordt aangeduid als CVE-2020-12856. Volgens onderzoekers Jim Mussared (George Robotics) en Alwen Tiu (The Australian National University) zorgt de kwetsbaarheid ervoor dat gebruikers gedurende lange tijd zijn te volgen. Daarnaast zou het mogelijk ook andere bluetooth-gebaseerde aanvalsvectoren introduceren.
Details over de kwetsbaarheid zijn nog onder een embargo van 45 dagen dat de onderzoekers zichzelf hebben opgelegd. Dit moet de app-ontwikkelaars de tijd geven om het beveiligingslek te verhelpen. Na het verstrijken van de embargoperiode op 19 juni zullen de onderzoekers, die de kwetsbaarheid op 5 mei ontdekten, alle details openbaar maken.
De aard van het lek maakt een "re-identification" aanval mogelijk. Op deze manier kan een aanvaller de gebruiker op meerdere locaties en momenten volgen, terwijl de app dit eigenlijk zou moeten voorkomen. Het probleem speelt vooral bij de Androidversie van de app, maar ook de iPhone-versie is kwetsbaar voor een ernstige variant van de aanval.
De COVIDSafe-app verscheen eind april voor Android en iOS. "Binnen uren waren verschillende ernstige privacy- en functionaliteitsproblemen ontdekt", aldus Mussared in een wekelijkse update over de gevonden problemen met de app. "Vier weken later blijkt deze app een privacyrisico voor iedereen die hem installeert en er is nog geen datum bekend wanneer de problemen zullen zijn verholpen."
Volgens Mussared staan de gevonden privacyproblemen los van de functionaliteit van de app en hadden ze tijdens de ontwikkeling en controle gevonden moeten worden. Gebruikers die zich zorgen maken om te worden gevolgd krijgen dan ook het advies om de COVIDSafe-app niet te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.