Nota bene met betrekking tot de risico's:
Ten opzichte van het mislukte appaton weekend en wat t/m juli was ontwikkeld is de CoronaMelder ook daadwerkelijk een tamelijk groot risico gebleken.
Voor die risico's is door jou en anderen ruim vooraf al voor gewaarschuwd.
De risico's zijn gerelateerd aan issue's die volstrekt voorzienbaar zijn:
- Hugo de Jonge de gegevens opeens gaandeweg de wedstrijd opeens gaat uploaden/delen met andere landen.
https://www.security.nl/posting/679011/CoronaMelder+zal+positieve+status+automatisch+met+Europese+server+delen
Dat introduceert een keten van risico's die verbonden zijn aan de infrastructuur waar de Jonge totaal niet over gaat/geen grip op heeft.
Typisch - waar hier ook al op was gewezen - gebruik GEEN java voor zoiets kwetsbaars als een Corona app.
https://www.security.nl/posting/679087/Lek+in+server+Duitse+corona-app+maakte+remote+code+execution+mogelijkHet onderliggende probleem heeft met Java Bean Validation te maken en zorgt ervoor dat de invoer van een aanvaller zo wordt verwerkt dat het uitvoeren van willekeurige Java-code mogelijk maakt.
Dus allerlei Java-code viel daarmee uit te voeren.
Java gebruiken is en was voor dit soort toepassingen heel onverstandig.
Dat is volstrekt incongruent met eventuele goede security baselines voor kritieke en gevoelige ict.
https://www.security.nl/posting/676366/Privacyontwerper%3A+CoronaMelder-app+niet+volledig+anoniemDe privacy was dus niet sluitend geregeld.
De werking en het gebruik van de App is niet straightforward. Het roept genoeg vragen op.
Een vakbond als FNV wees ook op de meldingen van de app die tot kromme vragen leidt.
Op 18 november en 30 oktober werd hier gemeld dat de App inconsistent afstanden meldt, in gevallen in Nederland en GB.
De API kijkt hievoor naar 'time data' alsmede verbeterde signaalsterktedata.
Andere apps op dezelfde telefoon vormen steeds een wezenlijk keten-risico dat de corona-app ook gehackt kan worden.
https://www.whatsapp.com/security/advisoriesBijvoorbeeld als anderen iemands whatsp kunnen overnemen.
Idem Instagram.
Idem fitness apps, waaronder ook in relatie tot gebruik van locatie functies.
Idem andere apps.
Telefoons bevatten in gevallen nog altijd zero day bugs.