Privacy - Wat niemand over je mag weten

Corona-app privacy-risico

14-12-2020, 13:17 door Erik van Straten, 6 reacties
Laatst bijgewerkt: 14-12-2020, 13:30
TL;DR: Er zijn apps die kunnen helpen "ontmaskeren" wie waar besmettelijk rondliep, indien die persoon later positief test, CoronaMelder gebruikt en gegevens uploadt. Anonimiteit was al niet gegarandeerd, maar als je niet wilt dat anderen weten dat jij besmettelijk rondliep, vergroten deze apps jouw risico's zodra je uploadt.

CoronaMelder toont geen locatie en tijdstip van mogelijke besmetting ivm privacy van besmettelijke persoon
Om te voorkomen dat je weet wie de besmettelijke persoon was (om privacy-redenen dus) laten Corona-apps die zijn gebaseerd op de GAEN (Google&Apple Exposure Notification) API, zoals CoronaMelder, weinig informatie zien nadat je lang genoeg op korte afstand van een app-gebruiker bent geweest die later positief getest wordt en gegevens uploadt, en dus bij jullie "contact" mogelijk besmettelijk was. Om te voorkomen dat je al te eenvoudig weet om wie het ging (en/of waar dat was), wordt, naast een risico-inschatting, uitsluitend de datum van zo'n contact getoond.

corona-warn-companion-android
Gisteravond las ik dat er een app bestaat die je precies kan laten zien op welk(e) tijdstip(pen) dat contact plaatsvond, en met welke signaalsterkte dat was (min of meer representatief voor de afstand tussen de smartphones): https://github.com/mh-/corona-warn-companion-android (bron: https://www.netzwelt.de/news/184253-corona-warn-app-so-findet-heraus-risiko-kontakt.html). Deze app kan gewoon uit de Google Play Store worden gedownload (https://play.google.com/store/apps/details?id=org.tosl.warnappcompanion).

Het voordeel daarvan voor een gewaarschuwde is dat deze wellicht (nog) weet of er op dat tijdstip mondkapjes gedragen werden en/of dat er toen sprake was van afschermende wanden (glas, kunststof, gipsplaat) of BLE-doorlatende plafonds/vloeren (hout).

Samen met RaMBLE app of smartphone rooten
Deze "corona-warn-companion-android" kan, zo te zien, op twee manieren worden gebruikt (wellicht kunnen beide worden gecombineerd):
1) Alleen samen met de gebruikte Corona app (zoals CoronaMelder): dan moet de smartphone geroot zijn om de door de GAEN verzamelde gegevens uit te kunnen lezen;
2) Samen met een Bluetooth sniffer genaamd RaMBLE; rooten zou dan niet nodig zijn, maar de BLE signaalsterktes zijn dan niet gecalibreerd. RaMBLE zou ook locaties kunnen loggen, zodat je precies weet waar je geweest bent en dus waar je -mogelijk- besmet bent geraakt.

Potentieel aanvullende info over merk+type smartphone van besmettelijke persoon
Hoewel ik niet zie dat deze "corona-warn-companion-android" hints geeft (dat kan hooguit op een geroote smartphone) over het merk en type van de smartphone van de besmettelijke persoon, is dit in principe wel mogelijk. Immers, smartphones met Corona-app verzenden versleutelde calibratie-informatie, maar zodra een positief getest persoon gegevens uploadt, zit daar de sleutel bij. In de pagina https://developers.google.com/android/exposure-notifications/ble-attenuation-overview#calibration_per-device_tx_power_and_per-device_rssi_correction vind je hier meer informatie over, en een link naar een CSV file met calibratiegegevens van zeer veel smartphones en andere BLE devices (directe link voor de momenteel laatste file https://developers.google.com/android/exposure-notifications/files/en-calibration-2020-08-12.csv).

Conclusie
Voor een mogelijk besmet persoon kan deze app meer gedetailleerde gegevens prijsgeven dan apps als CoronaMelder doen. Dat is handig voor de mogelijk besmette persoon, maar kan ook duidelijk maken wie de mogelijk besmettelijke persoon was en wellicht aanwijzingen geven over het door die laatste persoon gebruikte merk en type smartphone (nog meer identificerende informatie dus). Dat RaMBLE tevens locaties kan opslaan betekent dat de kans dat de besmettelijke persoon "ontmaskerd" wordt, alleen maar toeneemt. Met dit soort apps neemt het privacy-risico bij uploaden dus toe.

Disclaimer: ik heb geen ervaring met genoemde apps, gebruik is op eigen risico.
Reacties (6)
15-12-2020, 18:41 door Anoniem
Nota bene met betrekking tot de risico's:
Ten opzichte van het mislukte appaton weekend en wat t/m juli was ontwikkeld is de CoronaMelder ook daadwerkelijk een tamelijk groot risico gebleken.
Voor die risico's is door jou en anderen ruim vooraf al voor gewaarschuwd.

De risico's zijn gerelateerd aan issue's die volstrekt voorzienbaar zijn:
- Hugo de Jonge de gegevens opeens gaandeweg de wedstrijd opeens gaat uploaden/delen met andere landen.
https://www.security.nl/posting/679011/CoronaMelder+zal+positieve+status+automatisch+met+Europese+server+delen
Dat introduceert een keten van risico's die verbonden zijn aan de infrastructuur waar de Jonge totaal niet over gaat/geen grip op heeft.

Typisch - waar hier ook al op was gewezen - gebruik GEEN java voor zoiets kwetsbaars als een Corona app.
https://www.security.nl/posting/679087/Lek+in+server+Duitse+corona-app+maakte+remote+code+execution+mogelijk
Het onderliggende probleem heeft met Java Bean Validation te maken en zorgt ervoor dat de invoer van een aanvaller zo wordt verwerkt dat het uitvoeren van willekeurige Java-code mogelijk maakt.
Dus allerlei Java-code viel daarmee uit te voeren.
Java gebruiken is en was voor dit soort toepassingen heel onverstandig.
Dat is volstrekt incongruent met eventuele goede security baselines voor kritieke en gevoelige ict.

https://www.security.nl/posting/676366/Privacyontwerper%3A+CoronaMelder-app+niet+volledig+anoniem
De privacy was dus niet sluitend geregeld.

De werking en het gebruik van de App is niet straightforward. Het roept genoeg vragen op.
Een vakbond als FNV wees ook op de meldingen van de app die tot kromme vragen leidt.
Op 18 november en 30 oktober werd hier gemeld dat de App inconsistent afstanden meldt, in gevallen in Nederland en GB.
De API kijkt hievoor naar 'time data' alsmede verbeterde signaalsterktedata.

Andere apps op dezelfde telefoon vormen steeds een wezenlijk keten-risico dat de corona-app ook gehackt kan worden.
https://www.whatsapp.com/security/advisories
Bijvoorbeeld als anderen iemands whatsp kunnen overnemen.
Idem Instagram.
Idem fitness apps, waaronder ook in relatie tot gebruik van locatie functies.
Idem andere apps.

Telefoons bevatten in gevallen nog altijd zero day bugs.
15-12-2020, 20:49 door Anoniem
Door Anoniem: Idem fitness apps, waaronder ook in relatie tot gebruik van locatie functies.

Eind januari 2018 kwam in het nieuws dat de locatie van militaire basissen en patrouilles van soldaten via de Heatmap van de fitness-app Strava waren te achterhalen. Men mag hopen dat Defensie er van heeft geleerd. Mij staat bij dat, toen de CoronaMelder werd ontwikkeld, in het nieuws was de AIVD bij het ministerie van VWS aan de bel trok.

https://www.security.nl/posting/548280/Defensie+wijst+militairen+op+gevaar+van+Strava+en+social+media
17-12-2020, 09:16 door Anoniem
Omdat uw telefoon veel BLE-bakens opvangt door muren, plafonds, enz., Is het uiterst onwaarschijnlijk dat u een persoon achteraf kunt identificeren op basis van de informatie die u van Warn-App-Companion krijgt. Er zullen altijd andere mensen zijn geweest die de bakens hadden kunnen sturen.
17-12-2020, 12:44 door Erik van Straten - Bijgewerkt: 17-12-2020, 13:16
Door Anoniem: Omdat uw telefoon veel BLE-bakens opvangt door muren, plafonds, enz., Is het uiterst onwaarschijnlijk dat u een persoon achteraf kunt identificeren op basis van de informatie die u van Warn-App-Companion krijgt. Er zullen altijd andere mensen zijn geweest die de bakens hadden kunnen sturen.
Uit https://nos.nl/artikel/2357013-corona-app-spoort-nog-weinig-besmette-mensen-op.html:
De Jonge zegt ook verhalen te horen van mensen die onterecht een melding zouden hebben gehad, bijvoorbeeld door muren heen. Een verbeterde versie van de app moet obstakels zoals muren nog beter herkennen, schrijft De Jonge.
De NOS verzint dat niet, in https://www.tweedekamer.nl/downloads/document?id=c711b83f-494e-4d0d-a23c-22350e737d2f&title=Stand%20van%20zakenbrief%20COVID-19.docx schrijft minister de Jonge op 17 november j.l. aan de Tweede Kamer ondermeer:
Binnenkort komt een tweede versie van het framework van Apple en Google beschikbaar. Deze versie zal nog beter onderscheid kunnen maken bij obstakels.
Tenzij minister de Jonge liegt, is het dus incorrect wat je beweert.

Maar wat je zegt klopt sowieso niet als mensen die Warn-App-Companion op een gerootte smartphone gebruiken. Dan kan die app jou exact vertellen welke ontvangen BLE-bakens, op welke exacte tijdstippen en met welke gecorrigeerde signaalsterkte tot een waarschuwing leidde, en exact met welke risicofactor. Niet in alle gevallen zul je daarmee weten wie de besmettelijke persoon geweest moet zijn, maar juist bij weinig contacten (i.v.m. de huidige lockdown) is de kans dat je dat wel weet, aanzienlijk.

Niet dat dit mijn grootste zorg is m.b.t. apps als CoronaMelder: dat is dat als mensen de afgelopen dagen niet door hun app gewaarschuwd zijn, denken dat zij niet besmet kunnen zijn en menen zich daarom minder of niet aan de anti-Corona maatregelen te hoeven houden.

Als je minstens 15 minuten dicht in de buurt van een willekeurige besmettelijke persoon bent geweest, schat ik de kans dat je door jouw CoronaMelder app wordt gewaarschuwd voordat je zelf besmettelijk kunt zijn op hooguit 7%. Oftewel je moet minstens 15 minuten dicht in de buurt van (gemiddeld) meer dan 14 besmettelijke personen zijn geweest om bijtijds door één van hen via jouw app te worden gewaarschuwd. En dat is ook nog eens zonder er rekening mee te houden dat je ook besmet kunt raken tijdens contacten die minder dan 15 minuten duren.
17-12-2020, 13:46 door Anoniem
Waarschijnlijk heeft Minister de Jonge betere contacten met Google en Apple dan ik.
Maar ik kan je vertellen dat ik veel risicowaarschuwingen had, en ze gebeurden allemaal in scenario's waarin meerdere bakens werden ontvangen. Natuurlijk zou ik kunnen denken dat de besmette persoon de persoon moet zijn die ik heb gezien, maar dat zou een misvatting zijn.
18-12-2020, 07:33 door Erik van Straten
Door Anoniem: Maar ik kan je vertellen dat ik veel risicowaarschuwingen had
Dan zou je langdurig dicht in de buurt van zeer veel besmettelijke mensen kunnen zijn geweest. Nb. daarbij kan het -deels- om dezelfde persoon gaan: als je dagelijks contact hebt met een persoon (zoals een besmette huisgenoot) die gegevens heeft geüpload, kun je in theorie voor max. 14 dagen voor elke dag contact met die persoon één waarschuwing krijgen (ik de praktijk zullen hoog-risico waarschuwingen zich vermoedelijk tot enkele dagen beperken).

Als je veel landurige (> 15 min.) contacten met verschillende mensen hebt: is dat beroepsmatig of voor de lol? Ben je veel in zelfisolatie geweest? Ben je ook daadwerkelijk positief getest?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.