image

Overheid onderzoekt openbaar maken van broncode DigiD-app

dinsdag 12 juli 2022, 14:30 door Redactie, 15 reacties

De overheid onderzoekt op dit moment of de broncode van de DigiD-app openbaar kan worden gemaakt, zo meldt staatssecretaris Van Huffelen van Digitalisering, die tevens erkent dat de app trackers van Google en Microsoft bevat. Het openbaar maken van de broncode brengt echter het risico met zich mee dat de app kan worden gekloond om via die weg gegevens van gebruikers te stelen. Dat laat de bewindsvrouw weten op vragen van SP-Kamerlid Leijten.

Het Kamerlid wilde onder andere weten waarom de DigiD-app niet als opensourcesoftware is ontwikkeld, zodat het in de F-Droid appstore kan worden aangeboden. Op dit moment is de app alleen in de App Store en Play Store aanwezig, waardoor de DigiD-app alleen is te gebruiken wanneer Nederlandse burgers een account bij de Amerikaanse techreuzen Apple en Google aanmaken. F-Droid is een alternatieve appstore voor Androidgebruikers die alleen vrije en open source applicaties aanbiedt. Aangeboden apps worden op security- en privacyproblemen gecontroleerd en bevatten volgens de appstore geen trackers.

Volgens Van Huffelen zijn de redenen voor het aanbieden van de DigiD-app via de Apple App Store en Google Play Store praktisch en niet principieel van aard. Zo zijn beide appstores volgens haar betrouwbaar. "Er moet voldoende vertrouwen zijn in de app store; zo moet de software bijvoorbeeld deugdelijk zijn en voldoen aan de standaarden van de store. Ondeugdelijke apps in de stores van iOS en Android worden verwijderd", zo laat de bewindsvrouw weten.

Verder noemt ze de bezitfactor. "Bij een digitale authenticatie moet er zekerheid bestaan over de identiteit van de gebruiker, dit vraagt bepaalde technologie die op dit moment alleen door Apple in iOS en door Google in Android wordt aangeboden."

Open source

Van Leijten had de staatssecretaris ook gevraagd of de overheid van plan is om de DigiD-app open source te maken. "DigiD gebruikt open source componenten, maar publiceert de broncode van de app (nog) niet. Een verkenning of het mogelijk is om de broncode van DigiD open source te publiceren is gaande, maar het publiceren van de broncode moet wel op een verantwoordelijke en veilige manier mogelijk zijn", reageert de staatssecretaris.

Ze voegt toe dat de veiligheid en bescherming van gegevens van gebruikers in de doorontwikkeling altijd een factor blijven. Daarnaast stelt Van Huffelen dat het risico bestaat dat de broncode gebruikt wordt om de app te klonen om via die weg gegevens van gebruikers te stelen.

Aanwezigheid trackers

De staatssecretaris erkent dat de DigiD-app ook trackers van Google en Microsoft bevat. Dit is volgens haar nodig voor de ondersteunings- en beheerfunctionaliteit van de applicatie. De twee Microsoft-trackers zorgen ervoor dat informatie bij het ontwikkelteam van DigiD terecht komt als de applicatie niet stabiel werkt of crasht. Deze gegevens worden niet naar Microsoft gezonden, maar alleen naar het ontwikkelplatform van DigiD. Het betreft geen persoonlijke gegevens en de trackers hebben ook niet als doel om het gedrag van de gebruiker te volgen.

De tracker van Google is nodig voor technische ondersteuning van de push-notificatiefunctionaliteit in Android. Een push-notificatie kan vanuit een applicatie een bericht sturen naar de gebruiker dat er een bericht klaar staat in de applicatie. Bij DigiD gebeurt dit alleen in uitzonderlijke gevallen en nooit met persoonsgegevens, aldus Van Huffelen. Voor het versturen van een push-notificatie wordt expliciet toestemming gevraagd aan de gebruiker om deze functionaliteit al dan niet toe te staan.

Reacties (15)
12-07-2022, 14:54 door Anoniem
Wat een onzin weer. Het nadeel van open source zou zijn dat de app nagemaakt kan worden. Wie verzint er zo iets?
Daar heb je echt geen opensource voor nodig hoor. Daarnaast is het sturen van een een push-notificatie ook helemaal niet nodig. Gemiste kans weer. Leve het neoliberalisme.
12-07-2022, 14:58 door Anoniem
Quote: "het risico bestaat dat de broncode gebruikt wordt om de app te klonen om via die weg gegevens van gebruikers te stelen."

Ook zonder de broncode kan men een kloon maken, veel digi criminelen die hier nu al brood mee verdienen!
12-07-2022, 14:59 door majortom - Bijgewerkt: 12-07-2022, 14:59
Het openbaar maken van de broncode brengt echter het risico met zich mee dat de app kan worden gekloond om via die weg gegevens van gebruikers te stelen. Dat laat de bewindsvrouw weten op vragen van SP-Kamerlid Leijten.
Als dit een uitspraak is van de bewindsvrouw met portefeuille digitalisering, stop dan maar direct met die funcite. Wat een onzin. Alsof je geen fake app kunt maken die de gegevens van een gebruiker kan stelen zonder de source code. Iets meer moeite misschien, maar geen rocket science.
12-07-2022, 15:27 door Anoniem
Er lukt meestal niks. Maar Digi-ideetjes genoeg!
12-07-2022, 15:31 door Anoniem
Door Redactie: De staatssecretaris erkent dat de DigiD-app ook trackers van Google en Microsoft bevat. [...] De twee Microsoft-trackers zorgen ervoor dat informatie bij het ontwikkelteam van DigiD terecht komt als de applicatie niet stabiel werkt of crasht.

Dat wist de aandachtige lezer van Security.NL langer dan vandaag. Momenteel zijn de volgende drie trackers present:

Google Firebase Analytics
analytics

Microsoft Visual Studio App Center Analytics
analytics

Microsoft Visual Studio App Center Crashes
crash reporting

https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/
12-07-2022, 15:36 door User2048
Het openbaar maken van de broncode maakt het makkelijker om kwetsbaarheden te vinden. Afhankelijk van de intenties van de vinder is dat een voor- of een nadeel. Zou de overheid bereid zijn om bug bounties ter beschikking te stellen? En dan bedoel ik niet een T-shirt met een tekst...
12-07-2022, 15:42 door Anoniem
Door Anoniem:
Door Redactie: De staatssecretaris erkent dat de DigiD-app ook trackers van Google en Microsoft bevat. [...] De twee Microsoft-trackers zorgen ervoor dat informatie bij het ontwikkelteam van DigiD terecht komt als de applicatie niet stabiel werkt of crasht.

Dat wist de aandachtige lezer van Security.NL langer dan vandaag. Momenteel zijn de volgende drie trackers present:

Google Firebase Analytics
analytics

Microsoft Visual Studio App Center Analytics
analytics

Microsoft Visual Studio App Center Crashes
crash reporting

https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/

En daarnaast hechten ze ook niet waarde aan het uitschakelen van statistieken in de app. Ik heb het zelf op DNS niveau moeten blokkeren.
12-07-2022, 15:46 door Anoniem
Het hebben van broncode is geen enkele garantie dat die overeenkomt met wat je uit een appstore installeert.
12-07-2022, 16:04 door Anoniem
Door Anoniem: Het hebben van broncode is geen enkele garantie dat die overeenkomt met wat je uit een appstore installeert.
Er bestaat zoiets als reproducible builds. Als dat wordt toegepast dan is die garantie er wel: doe een build en vergelijk het resultaat met de download. Bij reproducible builds zijn die tot op de bit identiek. Het kan dus wel degelijk.
12-07-2022, 16:07 door Anoniem
Door User2048: Het openbaar maken van de broncode maakt het makkelijker om kwetsbaarheden te vinden.
Makkelijker, maar absoluut geen voorwaarde, getuige de vele security patches in closed source software. Hoe interessant het is om bepaalde software te compromitteren is veel belangrijker dan de beschikbaarheid van de broncode.
12-07-2022, 17:27 door Anoniem
Naast Logius vindt dus ook Van Huffelen het gebruik van trackers, van bedrijven met een zeer matige reputatie wanneer het op privacy aankomt, geheel normaal.

Bij dezen is het dan nu officieel: RIPvacy.
13-07-2022, 10:25 door Anoniem
Vandaar dat het bij mij de DigiD niet werkt met inloggen met QR- code. Heb geen Playstore en Google dus werkt een overheid app niet. Hoe bizar is dat? Google en andere Amerikaanse bedrijven bepalen onze digitale zaken. Wel bang zijn voor China? Mijn Huawei P40 pro verbruikt in de nacht bijna geen batterij de vorige toestellen met Google was ik zo 15% batterij kracht kwijt.
13-07-2022, 14:01 door Anoniem
Door Anoniem: Naast Logius vindt dus ook Van Huffelen het gebruik van trackers, van bedrijven met een zeer matige reputatie wanneer het op privacy aankomt, geheel normaal.

Bij dezen is het dan nu officieel: RIPvacy.

Voor de DigiD app v6.4.2 kom ik in de App Lounge uit op een Privacy Score van 6 op een schaal van nul tot tien. Een voldoende. Helaas wordt aan het soort trackers, hun reputatie en de gebruikte permissies geen risico weegfactoren in de berekening meegenomen, dus het blijft behelpen met dit soort scores.

De telling voor de score is:

3 trackers -> score = 9 - 3 = 6
9 permissies -> score = 0

Privacy Score = Trackers score + Permissions score

If the number of Trackers is higher than 5, then score for trackers is 0. Otherwise, the score for trackers will be the value of (9 – Number of trackers).

if number of trackers > 5 : 0
if number of trackers < 5 : 9 - number of trackers

If the number of permissions is more than 9, then the score for permissions is 0. Otherwise, the score for permissions will be the rounded value of an equation given below.

if number of permissions > 9 : 0
if number of permissions < 9 : 0.2 x ( (10 – number of permissions) / 2 )
The current Privacy Score computation shows some limitations. We are looking into ways to improve its accuracy regarding the privacy compliance of an application.

https://community.e.foundation/t/app-lounge-know-all-about-it/42331
14-07-2022, 13:24 door Anoniem
Door Anoniem: En daarnaast hechten ze ook niet waarde aan het uitschakelen van statistieken in de app. Ik heb het zelf op DNS niveau moeten blokkeren.

Het verzamelen van statistieken kan desgwenst door de gebruiker zelf uit worden gezet in de DigiD app instellingen.
17-07-2022, 20:28 door Anoniem
Waar is Edward Snowden als je ‘m nodig hebt?? Gelukkig zijn er ook andere wakkere lui, in dit geval van de New York Universiteit faculteit rechten, zie https://www.thelastamericanvagabond.com/digitalhell/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.