image

Canadese corona-app lekte ip-adres gebruikers aan Google

dinsdag 25 augustus 2020, 14:47 door Redactie, 11 reacties

De Canadese corona-app Covid Alert lekte het ip-adres van gebruikers aan Google, zo ontdekte softwareontwikkelaar Sean Coates die de app analyseerde. Covid Alert moet het bron- en contactonderzoek van de Canadese gezondheidsautoriteiten ondersteunen.

Net als andere corona-apps maakt ook Covid Alert gebruik van het door Apple en Google ontwikkelde framework. Op de pagina van de app laat de Canadese overheid weten dat de privacy van gebruikers is beschermd. Coates besloot het verkeer dat de app genereert via de tool mitmproxy te bekijken en zag dat er verbinding werd gemaakt met een domein van Google.

Het ging om een endpoint waarmee ontwikkelaars kunnen bepalen of het apparaat van de gebruiker zich achter een zogenoemde "captive portal" bevindt. Het gaat dan bijvoorbeeld om wifi-netwerken waarbij een gebruiker eerst moet inloggen of een betaling moet uitvoeren voordat hij toegang tot internet krijgt.

Volgens Coates was dit waarschijnlijk niet de bedoeling van de ontwikkelaars. "Maar het stoorde me dat een app, ontwikkeld voor het tracken van interactie tussen (de apparaten van) mensen, en waarvan de overheid wil dat we die gebruiken, Google vertelt dat ik 'm gebruik en daarbij mijn ip-adres doorgeeft."

Coates waarschuwde de ontwikkelaars, die vervolgens een nieuwe versie van de app uitbrachten. De betreffende Google-url werd in de nieuwe versie niet meer aangeroepen. In de communicatie richting gebruikers lieten de ontwikkelaars weten dat de manier was aangepast waarop de app op een internetverbinding controleert.

Reacties (11)
25-08-2020, 14:53 door Anoniem
Dowmloaders van dergelijke apps geven er helemaal NIKS om. Nog niet...
25-08-2020, 15:21 door Briolet
Er wordt nergens expliciet aangegeven of de android of iOS versie gebruikt is, maar omdat de app van Apples appstore opgehaald is, is blijkbaar alleen de iOS versie getest.

De code die google aanroept staat ook niet in de source zelf, maar in de dependencies die de code gebruikt. Dat is altijd lastig als je externe libraries gebruikt. Het is heel tijdrovend voor een programmeur om ook de code van alle gebruikte libraries door te worstelen. (Wat doorgaans dan ook niet gebeurd).
25-08-2020, 15:46 door Anoniem
Eh... iemand verbaasd hierover?
Nog even wachten. Dan gaan we vast ontdekken dat dergelijke ellende ook in de NL-uitvoering zit. Of heel snel is weggewerkt toen bekend werd dat het gebeurde natuurlijk. Zet de chips maar klaar!
25-08-2020, 15:53 door Anoniem
Door Briolet: Er wordt nergens expliciet aangegeven of de android of iOS versie gebruikt is, maar omdat de app van Apples appstore opgehaald is, is blijkbaar alleen de iOS versie getest.

De code die google aanroept staat ook niet in de source zelf, maar in de dependencies die de code gebruikt. Dat is altijd lastig als je externe libraries gebruikt. Het is heel tijdrovend voor een programmeur om ook de code van alle gebruikte libraries door te worstelen. (Wat doorgaans dan ook niet gebeurd).

In de headers zie je User-Agent : Covid bla bla bla DARWIN/19.6.0

iPhone dus.
25-08-2020, 16:07 door Anoniem
Door Briolet: Er wordt nergens expliciet aangegeven of de android of iOS versie gebruikt is, maar omdat de app van Apples appstore opgehaald is, is blijkbaar alleen de iOS versie getest.

De code die google aanroept staat ook niet in de source zelf, maar in de dependencies die de code gebruikt. Dat is altijd lastig als je externe libraries gebruikt. Het is heel tijdrovend voor een programmeur om ook de code van alle gebruikte libraries door te worstelen. (Wat doorgaans dan ook niet gebeurd).
Omdat het zo lastig is, zouden ontwikkelaars de testen in de IOS/Android emulator via bv. BurpSuite kunnen draaien, dan zie je precies welk verkeer de app veroorzaakt en waar dat naar toe gaat.
25-08-2020, 17:21 door Anoniem
Gelukkig loopt coronatest.nl mail ook niet via amazon mail server....

Ow wacht toch wel!

Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=54.240.3.17; helo=a3-17.smtp-out.eu-west-1.amazonses.com; envelope-from=<SNIP>@mail.coronatest.nl; receiver=<SNIP>
Authentication-Results: <SNIP>;
dkim=pass (1024-bit key; unprotected) header.d=coronatest.nl header.i=@coronatest.nl header.b="<SNIP>";
dkim=pass (1024-bit key; unprotected) header.d=amazonses.com header.i=@amazonses.com header.b="<SNIP>";
dkim-atps=neutral
Received: from a3-17.smtp-out.eu-west-1.amazonses.com (a3-17.smtp-out.eu-west-1.amazonses.com [54.240.3.17])
25-08-2020, 18:13 door Anoniem
En dit is nou precies de reden dat deze app niet!! op mijn smartphone komt. Hoe graag Hugo de Jonge het ook wil doordrukken. Geef het een tijdje en we hebben dezelfde ellende hier in Nederland ook.
25-08-2020, 20:15 door Anoniem
Een zo'n lekje in België en dat wordt een knoert van een proces - ik nagel hen aan het kruis!
25-08-2020, 21:26 door Anoniem
Het is niet nodig, dus had het niet gemoeten maar... ga even na: je hebt de app al uit de store gedownload, natuurlijk weten Google of Apple dan al dat je hem gebruikt (inclusief je IP adres van dat moment, voor wat dat waard is).
27-08-2020, 12:05 door Anoniem
Op Android is de app afhankelijk van Google play services voor het bluetooth tracing framework. Google services zit vol tracking meuk.

PS, ook security.nl geeft je IP adres door aan Google met het gebruik van Google-analytics. (tenzij je dat zelf blocked met een add blocker of no-script)
27-08-2020, 13:22 door Anoniem
Voor het geval je het nog niet wist.. zou ook de postbode niet vertrouwen, die achterhaalt je adres door op de envelop te kijken,
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.