Een brede coalitie van beveiligings- en privacyexperts die werkzaam zijn voor securitybedrijven, antivirusleveranciers en burgerrechtenbewegingen, maken zich zorgen over de voorgestelde Europese Cyber Resilience Act (CRA), die softwareleveranciers verplicht om actief aangevallen zerodaylekken binnen 24 uur na ontdekking bij overheidsinstanties te melden. Die zouden deze informatie voor surveillance en inlichtingendoeleinden kunnen misbruiken.
De CRA moet voor veiligere soft- en hardware zorgen. Artikel 11 van het wetsvoorstel introduceert een meldplicht voor zerodays, die bij de autoriteiten moeten worden gerapporteerd. De experts zijn bang dat dit allerlei risico's met zich meebrengt, omdat de betreffende kwetsbaarheden dan nog niet zijn verholpen. "Dit houdt in dat tientallen overheidsinstanties toegang krijgen tot een database met software die ongepatchte kwetsbaarheden bevat", aldus de experts in een open brief (pdf).
Dit brengt allerlei risico's met zich mee, zoals het gebruik van deze zerodays door overheden voor surveillance en het verkrijgen van inlichtingen. Daarnaast wordt de database een doelwit voor aanvallers. Verder vrezen de experts dat het voortijdig openbaar maken van kwetsbaarheden de samenwerking tussen beveiligingsonderzoekers en softwareleveranciers verstoort en er zelfs voor kan zorgen dat onderzoekers geen kwetsbaarheden meer zullen melden.
De experts die de open brief ondertekenden vinden dat artikel 11 volledig moet worden verwijderd, of dat die zo wordt aangepast dat overheidsinstanties gerapporteerde zerodays niet voor inlichtingen, surveillance of andere offensieve doeleinden mogen gebruiken. Verder moeten de kwetsbaarheden alleen worden gemeld als er updates beschikbaar zijn. Daarnaast moet de meldplicht niet gaan gelden voor beveiligingslekken die door onderzoekers in het kader van 'good faith security research' zijn gemeld.
De brief is onder andere ondertekend door medewerkers van ESET, Rapid7, Bitdefender, Electronic Frontier Foundation, Trend Micro, Google, Citizen Lab, TomTom, HackerOne, Panasonic, KU Leuven, Black Hat en DEF CON en het Stanford University Cyber Policy Center.
Deze posting is gelocked. Reageren is niet meer mogelijk.