Nieuws

Overheid onderzoekt openbaar maken van broncode DigiD-app

dinsdag 12 juli 2022, 14:30 door Redactie, 15 reacties

De overheid onderzoekt op dit moment of de broncode van de DigiD-app openbaar kan worden gemaakt, zo meldt staatssecretaris Van Huffelen van Digitalisering, die tevens erkent dat de app trackers van Google en Microsoft bevat. Het openbaar maken van de broncode brengt echter het risico met zich mee dat de app kan worden gekloond om via die weg gegevens van gebruikers te stelen. Dat laat de bewindsvrouw weten op vragen van SP-Kamerlid Leijten.

Het Kamerlid wilde onder andere weten waarom de DigiD-app niet als opensourcesoftware is ontwikkeld, zodat het in de F-Droid appstore kan worden aangeboden. Op dit moment is de app alleen in de App Store en Play Store aanwezig, waardoor de DigiD-app alleen is te gebruiken wanneer Nederlandse burgers een account bij de Amerikaanse techreuzen Apple en Google aanmaken. F-Droid is een alternatieve appstore voor Androidgebruikers die alleen vrije en open source applicaties aanbiedt. Aangeboden apps worden op security- en privacyproblemen gecontroleerd en bevatten volgens de appstore geen trackers.

Volgens Van Huffelen zijn de redenen voor het aanbieden van de DigiD-app via de Apple App Store en Google Play Store praktisch en niet principieel van aard. Zo zijn beide appstores volgens haar betrouwbaar. "Er moet voldoende vertrouwen zijn in de app store; zo moet de software bijvoorbeeld deugdelijk zijn en voldoen aan de standaarden van de store. Ondeugdelijke apps in de stores van iOS en Android worden verwijderd", zo laat de bewindsvrouw weten.

Verder noemt ze de bezitfactor. "Bij een digitale authenticatie moet er zekerheid bestaan over de identiteit van de gebruiker, dit vraagt bepaalde technologie die op dit moment alleen door Apple in iOS en door Google in Android wordt aangeboden."

Open source

Van Leijten had de staatssecretaris ook gevraagd of de overheid van plan is om de DigiD-app open source te maken. "DigiD gebruikt open source componenten, maar publiceert de broncode van de app (nog) niet. Een verkenning of het mogelijk is om de broncode van DigiD open source te publiceren is gaande, maar het publiceren van de broncode moet wel op een verantwoordelijke en veilige manier mogelijk zijn", reageert de staatssecretaris.

Ze voegt toe dat de veiligheid en bescherming van gegevens van gebruikers in de doorontwikkeling altijd een factor blijven. Daarnaast stelt Van Huffelen dat het risico bestaat dat de broncode gebruikt wordt om de app te klonen om via die weg gegevens van gebruikers te stelen.

Aanwezigheid trackers

De staatssecretaris erkent dat de DigiD-app ook trackers van Google en Microsoft bevat. Dit is volgens haar nodig voor de ondersteunings- en beheerfunctionaliteit van de applicatie. De twee Microsoft-trackers zorgen ervoor dat informatie bij het ontwikkelteam van DigiD terecht komt als de applicatie niet stabiel werkt of crasht. Deze gegevens worden niet naar Microsoft gezonden, maar alleen naar het ontwikkelplatform van DigiD. Het betreft geen persoonlijke gegevens en de trackers hebben ook niet als doel om het gedrag van de gebruiker te volgen.

De tracker van Google is nodig voor technische ondersteuning van de push-notificatiefunctionaliteit in Android. Een push-notificatie kan vanuit een applicatie een bericht sturen naar de gebruiker dat er een bericht klaar staat in de applicatie. Bij DigiD gebeurt dit alleen in uitzonderlijke gevallen en nooit met persoonsgegevens, aldus Van Huffelen. Voor het versturen van een push-notificatie wordt expliciet toestemming gevraagd aan de gebruiker om deze functionaliteit al dan niet toe te staan.

Bunq hoeft slachtoffer van telefoonoplichting niet te vergoeden

Telecomprovider geeft update schuld van grootschalige storing in Canada

Reacties (15)

12-07-2022, 14:54 door Anoniem

Wat een onzin weer. Het nadeel van open source zou zijn dat de app nagemaakt kan worden. Wie verzint er zo iets?
Daar heb je echt geen opensource voor nodig hoor. Daarnaast is het sturen van een een push-notificatie ook helemaal niet nodig. Gemiste kans weer. Leve het neoliberalisme.

12-07-2022, 14:58 door Anoniem

Quote: "het risico bestaat dat de broncode gebruikt wordt om de app te klonen om via die weg gegevens van gebruikers te stelen."

Ook zonder de broncode kan men een kloon maken, veel digi criminelen die hier nu al brood mee verdienen!

12-07-2022, 14:59 door majortom - Bijgewerkt: 12-07-2022, 14:59

Het openbaar maken van de broncode brengt echter het risico met zich mee dat de app kan worden gekloond om via die weg gegevens van gebruikers te stelen. Dat laat de bewindsvrouw weten op vragen van SP-Kamerlid Leijten.

Als dit een uitspraak is van de bewindsvrouw met portefeuille digitalisering, stop dan maar direct met die funcite. Wat een onzin. Alsof je geen fake app kunt maken die de gegevens van een gebruiker kan stelen zonder de source code. Iets meer moeite misschien, maar geen rocket science.

12-07-2022, 15:27 door Anoniem

Er lukt meestal niks. Maar Digi-ideetjes genoeg!

12-07-2022, 15:31 door Anoniem

Door Redactie: De staatssecretaris erkent dat de DigiD-app ook trackers van Google en Microsoft bevat. [...] De twee Microsoft-trackers zorgen ervoor dat informatie bij het ontwikkelteam van DigiD terecht komt als de applicatie niet stabiel werkt of crasht.

Dat wist de aandachtige lezer van Security.NL langer dan vandaag. Momenteel zijn de volgende drie trackers present:

Google Firebase Analytics
analytics

Microsoft Visual Studio App Center Analytics
analytics

Microsoft Visual Studio App Center Crashes
crash reporting

https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/

12-07-2022, 15:36 door User2048

Het openbaar maken van de broncode maakt het makkelijker om kwetsbaarheden te vinden. Afhankelijk van de intenties van de vinder is dat een voor- of een nadeel. Zou de overheid bereid zijn om bug bounties ter beschikking te stellen? En dan bedoel ik niet een T-shirt met een tekst...

12-07-2022, 15:42 door Anoniem

Door Anoniem:

Dat wist de aandachtige lezer van Security.NL langer dan vandaag. Momenteel zijn de volgende drie trackers present:

Google Firebase Analytics
analytics

Microsoft Visual Studio App Center Analytics
analytics

Microsoft Visual Studio App Center Crashes
crash reporting

https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/

En daarnaast hechten ze ook niet waarde aan het uitschakelen van statistieken in de app. Ik heb het zelf op DNS niveau moeten blokkeren.

12-07-2022, 15:46 door Anoniem

Het hebben van broncode is geen enkele garantie dat die overeenkomt met wat je uit een appstore installeert.

12-07-2022, 16:04 door Anoniem

Door Anoniem: Het hebben van broncode is geen enkele garantie dat die overeenkomt met wat je uit een appstore installeert.

Er bestaat zoiets als reproducible builds. Als dat wordt toegepast dan is die garantie er wel: doe een build en vergelijk het resultaat met de download. Bij reproducible builds zijn die tot op de bit identiek. Het kan dus wel degelijk.

12-07-2022, 16:07 door Anoniem

Door User2048: Het openbaar maken van de broncode maakt het makkelijker om kwetsbaarheden te vinden.

Makkelijker, maar absoluut geen voorwaarde, getuige de vele security patches in closed source software. Hoe interessant het is om bepaalde software te compromitteren is veel belangrijker dan de beschikbaarheid van de broncode.

12-07-2022, 17:27 door Anoniem

Naast Logius vindt dus ook Van Huffelen het gebruik van trackers, van bedrijven met een zeer matige reputatie wanneer het op privacy aankomt, geheel normaal.

Bij dezen is het dan nu officieel: RIPvacy.

13-07-2022, 10:25 door Anoniem

Vandaar dat het bij mij de DigiD niet werkt met inloggen met QR- code. Heb geen Playstore en Google dus werkt een overheid app niet. Hoe bizar is dat? Google en andere Amerikaanse bedrijven bepalen onze digitale zaken. Wel bang zijn voor China? Mijn Huawei P40 pro verbruikt in de nacht bijna geen batterij de vorige toestellen met Google was ik zo 15% batterij kracht kwijt.

13-07-2022, 14:01 door Anoniem

Door Anoniem: Naast Logius vindt dus ook Van Huffelen het gebruik van trackers, van bedrijven met een zeer matige reputatie wanneer het op privacy aankomt, geheel normaal.

Bij dezen is het dan nu officieel: RIPvacy.

Voor de DigiD app v6.4.2 kom ik in de App Lounge uit op een Privacy Score van 6 op een schaal van nul tot tien. Een voldoende. Helaas wordt aan het soort trackers, hun reputatie en de gebruikte permissies geen risico weegfactoren in de berekening meegenomen, dus het blijft behelpen met dit soort scores.

De telling voor de score is:

3 trackers -> score = 9 - 3 = 6
9 permissies -> score = 0

Privacy Score = Trackers score + Permissions score

If the number of Trackers is higher than 5, then score for trackers is 0. Otherwise, the score for trackers will be the value of (9 – Number of trackers).

if number of trackers > 5 : 0
if number of trackers < 5 : 9 - number of trackers

If the number of permissions is more than 9, then the score for permissions is 0. Otherwise, the score for permissions will be the rounded value of an equation given below.

if number of permissions > 9 : 0
if number of permissions < 9 : 0.2 x ( (10 – number of permissions) / 2 )

The current Privacy Score computation shows some limitations. We are looking into ways to improve its accuracy regarding the privacy compliance of an application.

https://community.e.foundation/t/app-lounge-know-all-about-it/42331

14-07-2022, 13:24 door Anoniem

Door Anoniem: En daarnaast hechten ze ook niet waarde aan het uitschakelen van statistieken in de app. Ik heb het zelf op DNS niveau moeten blokkeren.

Het verzamelen van statistieken kan desgwenst door de gebruiker zelf uit worden gezet in de DigiD app instellingen.

17-07-2022, 20:28 door Anoniem

Waar is Edward Snowden als je ‘m nodig hebt?? Gelukkig zijn er ook andere wakkere lui, in dit geval van de New York Universiteit faculteit rechten, zie https://www.thelastamericanvagabond.com/digitalhell/

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

De GGD heeft mij voor deelname aan de Gezondheidsmonitor uitgenodigd. Mag dit wel zonder mijn toestemming?

30-10-2024 door Arnoud Engelfriet

Juridische vraag: Ik kreeg een brief om mee te doen aan de GGD Gezondheidsmonitor, een onderzoek in opdracht van de GGD. Hierin ...

21 reacties

Lees meer

Wie wordt de volgende president van de Verenigde Staten?

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

De grenzeloosheid van AI

01-11-2024 door Metobard

Niet alleen gaat AI (Artificial Intelligenge) als het mondiaal de norm wordt voor o.a. digitaal bijeengegaarde en verstrekte ...

6 reacties

Lees meer