image

CoronaMelder tijdelijk uitgeschakeld: "Gegevens nergens opgeslagen"

vrijdag 22 april 2022, 14:21 door Redactie, 7 reacties

Vanaf vandaag is de overheid tijdelijk gestopt met de CoronaMelder-app. Gebruikers zullen geen meldingen meer ontvangen en de uitgewisselde willekeurige codes die normaal lokaal op de telefoon worden opgeslagen worden verwijderd. Ook op de servers worden alle codes verwijderd en er worden geen gegevens meer met de Europese gateway uitgewisseld, zo laat het ministerie van Volksgezondheid weten.

CoronaMelder werd op 10 oktober 2020 gelanceerd als digitale aanvulling op het reguliere proces van bron- en contactopsporing door de GGD’en. Via CoronaMelder kunnen gebruikers aangeven dat ze besmet zijn met het coronavirus en ontvangen een waarschuwing als ze in de buurt van besmette gebruikers zijn geweest. Ook is het mogelijk een testafspraak te maken. Via de Europese gateway kan CoronaMelder met andere Europese corona-apps samenwerken.

De app is volgens minister Kuipers sinds de lancering door bijna 5,9 miljoen mensen gedownload, waarvan ongeveer 2,3 miljoen mensen de app momenteel nog actief gebruiken. Omdat veel coronamaatregelen nu zijn gestopt heeft CoronaMelder volgens het ministerie op dit moment veel minder nut. "Omdat je nu niet meer thuis hoeft te blijven na contact met iemand met corona, kan de app je geen advies meer geven."

Het ministerie benadrukt dat het om een tijdelijke stopzetting gaat. "De app kan weer worden aangezet als de situatie daarom vraagt, bijvoorbeeld bij een opleving van het virus. Of bij een nieuwe coronavariant die mensen erger ziek maakt", zo staat in een uitleg over de beslissing om de app uit te schakelen. Op de vraag of gebruikers de app kunnen verwijderen stelt het ministerie: "Je kan CoronaMelder van je mobiel verwijderen. Je zou er ook voor kunnen kiezen om de app te laten staan. Zo heb je CoronaMelder alvast als de app in de toekomst weer wordt aangezet."

Reacties (7)
22-04-2022, 14:31 door Anoniem
Dat 'gegevens nergens opgeslagen'... Daar geloof ik dan weer geen moer van. Er ligt vast nog wel ergens een 'vergeten backup'. Of het is zoiets als met geluidsopnamen van het OMT.
22-04-2022, 16:52 door Erik van Straten
Door Anoniem: Dat 'gegevens nergens opgeslagen'... Daar geloof ik dan weer geen moer van.

Smartphone- en OS-makers
Wat Google via Android, smartphonemakers waaronder Apple en Huawei en eventuele malware-makers aan extra gegevens hebben verzameld van gebruikers die CoronaMelder hebben geïnstalleerd, weet ik niet. Maar dat geldt voor elke app op je smartphone.

Via BLE verzonden data
Ook weet ik niet wie er allemaal namens CoronaMelder via BLE (Bluetooth Low Energy) verzonden identifiers plus aanvullende gegevens (waaronder MAC-adressen) hebben opgevangen en opgeslagen met andere bedoelingen dan een ontvangende CoronaMelder app op een andere smartphone heeft. Maar zolang je zelf geen "waarschuwingsmeldingen" uploadt na positief te zijn gestest door de GGD, heeft die ontvanger niet zoveel aan die, via BLE verzonden, gegevens. Die zijn namelijk grotendeels versleuteld, terwijl de "waarschuwingsmelding" de decryptiesleutel bevat (de TEK oftewel Temporary Encryption Key).

Verzameld door de overheid
Wat de overheid zou kunnen verzamelen van (nog-) niet-uploaders zijn IP-adressen en mogelijk meegestuurde gegevens, elkekeer als CoronaMelder op de server navraagt of er nieuwe uploads (en configuratiewijzigingen) beschikbaar zijn. Maar hiervan hebben de ontwikkelaars en de overheid steeds gezegd dat serverlogs met IP-adressen kort worden bewaard en dat er geen andere gegevens zouden worden verzameld. Persoonlijk vermoed ik dat zij de waarheid spraken.

Verzameld door makers van libraries en compilers
Verder kun je nooit helemaal uitsluiten dat CoronaMelder gebouwd is met libraries die gegevens met de makers van die libraries uitwisselen, maar ook dat geldt voor andere apps.

TEK-files op publiek toegankelijke servers
Daarnaast is er sprake van openbare "waarschuwingsmeldingen" (met o.a. TEK's) die door een deel van de positief geteste app-gebruikers zijn geüpload. Om die te kunnen downloaden moet je de "bestandsnaam" kennen (bijv. "aef4e3b8fc7e46d7a5130f49147dfd61"). Tot vanochtend kon je de laatste 140 van die bestandsnamen vinden in een zogenaamde "manifest" file (https://productie.coronamelder-dist.nl/v3/manifest). Als je die URL opent wordt "manifest.zip" gedownload met daarin "content.bin" (een teksbestand) en "content.sig" (een digitale handtekening).

Sinds vanochtend ontbreken de 140 [*] "bestandsnamen" in gedownloade manifest files (om precies te zijn in de subfile in "content.bin"; er staan nog wel een drietal verwijzingen naar o.a. configuratiegegevens in).

In elk geval één van de laatste files met TEK's ("aef4e3b8fc7e46d7a5130f49147dfd61", met TEK's tot vanochtend ca. 7 uur) kon ik zojuist nog wel downloaden, maar Nederlandse TEK's daarin zijn waarschijnlijk ook gedeeld met andere Europese landen (waar zij nog op servers beschikbaar zijn; nb. dat bestand bevat waarschijnlijk ook TEK's uit andere Europese landen). TEK-records bevatten overigens geen land-identifier, je kunt dus niet eenvoudig vaststellen uit welk land een TEK afkomstig is.

Als test heb ik geprobeerd een TEK-file van ruim 2 weken geleden te downloaden (3 april ca. 13:00) van de Nederlandse server, maar dat lukte niet. Kennelijk worden files ouder dan 2 weken verwijderd.

TEK-files verzameld door onderzoekers
Ten slotte zijn er onderzoekers die TEK-files verzamelen (sinds kort ik, maar anderen doen dat al veel langer, zoals Prof. Doug Leith en Dr. Stephen Farrell van het Trinity College Dublin: https://down.dsg.cs.tcd.ie/tact/. Data van veel landen vind je onderin https://down.dsg.cs.tcd.ie/tact/tek-counts/). Maar nogmaals, aan uitsluitend TEK-files heb je niet zoveel - als je op zoek bent naar privacy-gevoelige informatie.

Privacy is niet het probleem van apps als CoronaMelder
Hét probleem met CoronaMelder is echter niet een privacy-risico, maar dat deze app averechts werkt doordat de positieve effecten (besmette mensen waarschuwen zodat zij in zelfisolatie gaan voordat zij besmettelijk worden) verwaarloosbaar zijn, terwijl de negatieve effecten (denken dat je niet besmet kunt zijn zolang CoronaMelder je niet waarschuwt) allesbehalve verwaarloosbaar zijn (zoals vastgesteld door de Tilburg university in opdracht van VWS, zie (PDF) https://github.com/minvws/nl-covid19-notification-app-website/raw/8809a1d597b7e93d7c7b3249f44fb86c6e7a61ed/media/Rapportage_Evaluatie_CoronaMelder_TilburgUniversity_LISSpanel_Wave_v1.pdf).

Zie ook mijn uitgebreide post van afgelopen woensdag hierover in https://security.nl/posting/750895.

[*] P.S. voor geïnteresseerden: de reden dat er 140 files voor 14 dagen waren, is dat Nederland 10 files per dag gepubliceerde: elke 2 uur behalve omstreeks 01:00 en 03:00. In elk geval België en Duitsland publiceren zowel "uurfiles" als "dagfiles" op hun servers. Ik zie zeer opmerkelijke zaken in de TEK-files die ik bekeken heb, daarover mogelijk een andere keer meer.
23-04-2022, 21:50 door linuxpro
Is er werkelijk iemand die dat geloofd?
24-04-2022, 12:26 door Anoniem
Wat je digitaal verspreidt blijft altijd ergens. Het verdwijnt nooit. Daarom moet je al nooit iets delen met het Internet, dat je niet met anderen wenst te delen. Ach, de overheid, wie in vredesnaam gelooft haar nog, noch haar dienaren?
24-04-2022, 21:20 door Anoniem
Het is een tool geweest die noodzakelijk was - en het kan mogelijks opnieuw bij heropflakkering in het najaar ingevoerd moeten worden. Dat is terecht de achterliggende gedachte.
U kan terecht de overheid wantrouwen - nu als de overheid u bedriegt - en u kan dat bewijzen dan is daar de schitterend GDPR. En dan gaat de overheid het geweten hebben.
De overheden hebben tijdens de uitbraken ook geanonymiseerde telco-data gebruikt om te meten of iemand thuis zat of op verplaatsing. Meten is weten.
25-04-2022, 12:20 door Anoniem
Door Anoniem: Wat je digitaal verspreidt blijft altijd ergens. Het verdwijnt nooit. Daarom moet je al nooit iets delen met het Internet, dat je niet met anderen wenst te delen. Ach, de overheid, wie in vredesnaam gelooft haar nog, noch haar dienaren?
Bij de Derde Wereldoorlog verdwijnt echt ALLES. Op de vraag aan Einstein met welke wapens ze dan zouden knokken, zei hij: "welke wapens weet ik niet, maar in de VIERDE WERELDOORLOG weet ik dat wel: vuistbijlen en stenen zullen ze dan gebruiken!"
25-04-2022, 18:10 door Anoniem
Even lachen waar!
Er zit ontzettend veel van GOOGLE in gebakken, en ja daarom gaat alles rechtstreeks naar servers van GOOGLE.
GOOGLE weet alles over ons en zet dat in de etalage en verkoop die gegevens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.