'CoronaMelder-app vanaf half september, kwetsbaarheden ontdekt'

'CoronaMelder-app vanaf half september, kwetsbaarheden ontdekt'

CoronaMelder

De Nederlandse overheid zou normaal vanaf 1 september de CoronaMelder-app in heel Nederland beschikbaar maken, maar die deadline werd niet gehaald. Vandaag debatteert de Tweede kamer over de app voor contactonderzoek, want er moet nog over een benodigde wet worden gestemd die door de Eerste en Tweede Kamer moet worden goedgekeurd.

Al betekent het daarmee nog niet dat de CoronaMelder daarna meteen klaar is voor een landelijke introductie, want volgens minister Hugo de Jonge van Volksgezondheid blijven de huidige testen nog tot zeker midden september lopen. Nederlands app dat de GGD'en moet helpen in de strijd tegen het coronavirus is op dit moment enkel nog maar actief in de regio's Drenthe, Overijssel en delen van Gelderland.

Beelden van de app

Kwetsbaarheden ontdekt

Er is ook meer bekend over mogelijke oorzaken van het plotse uitstel, want uit bijlagen van de kamerbrief over de voortgang van de CoronaMelder-app blijkt dat er kwetsbaarheden zijn ontdekt in de broncode van de app. Het NFIR-cyberonderzoeksteam uit Den Haag heeft op vraag van het ministerie de app doorgelicht, en daarbij kwamen 25 kwetsbaarheden naar voren die inmiddels zijn verholpen. Uit de penetratietest kwamen geen kritieke fouten naar voren, maar wel één fout van hoge prioriteit. Dat blijkt uit een Managementsamenvatting die als bijlage diende van de Kamerbrief. In de bijlage treden de onderzoekers niet in details over de fouten.

Als een tweede proef op de som, liet Volksgezondheid ook het Eindhovense onderzoeksbureau Secura een duik nemen in de broncode. Daar kwamen vijf inconsistenties naar voren die wel uitgebreid werden omschreven. Daarin kwam naar voren dat de app slechts gedeeltelijk cryptografische handtekeningen controleert bij het valideren van sleutels. Wanneer de app een contact als risicovol bestempeld, wisselt de app zo'n anonieme sleutel uit, maar als die onvoldoende wordt gecontroleerd, kan daar in feite misbruik van worden gemaakt. Het is ook in strijd met de integriteitsvereisten die het door het ministerie zijn vooropgesteld.

Beelden van de app

Verder detecteert de app niet of een telefoon root-toegang heeft, en dat is volgens Secura risicovol. Smartphonegebruikers die hun telefoon 'rooten' (Andorid) of 'jailbreaken' (iOS) stellen volgens de onderzoekers de deur open voor ongewenste apps en andere effecten. Een waarschuwing voor gebruikers die hun toestel ge-root hebben is volgens de onderzoekers op zijn plaats. Alle bevindingen zijn te lezen in het Source Code Review-document als bijlage van de Kamerbrief.

Extra vertrouwensmaatregel

Minister de Jonge zegt in de Kamerbrief dat de adviezen van de onderzoeksinstellingen worden opgevolgd. Daarnaast vertelt hij ook over een nieuwe stap die nu genomen wordt in de ontwikkeling van overheidsapplicaties. Het ministerie publiceert een verklaring van een accountant die bevestigd dat de applicatie die beschikbaar is op de App Store en Play Store daadwerkelijk ook de broncode bevat die de ontwikkelaars open-source op GitHub hebben gedeeld.

"Ik heb tevens een notaris laten meekijken of de versies die beschikbaar zijn gesteld aan Apple en Google voor de app-winkels dezelfde versies zijn die op GitHub zijn gepubliceerd en waarop door de community is meegekeken. Hiertoe heeft de notaris een zogenaamde ‘verified build’-verklaring afgegeven", dat zegt de Jonge in zijn Kamerbrief.

Wil je op de hoogte blijven van het laatste nieuws over CoronaMelder? Download dan onze Android-app en volg ons op Telegram en Twitter.

CoronaMelder
CoronaMelder is de officiële corona notificatie-app van Nederland, ontwikkeld onder het toezicht van het Ministerie van Volksgezondheid, Welzijn en Sport. De ap ..

Meer info

Lees meer over:
Medisch CoronaMelder

Plaats reactie

666

0 reacties

Laad meer reacties

Je bekijkt nu de reacties waarvoor je een notificatie hebt ontvangen, wil je alle reacties bij dit artikel zien, klik dan op onderstaande knop.

Bekijk alle reacties

Meest gelezen

OnePlus en updates: gaat het bedrijf ten onder aan zijn updatebeleid?

OnePlus begon in 2013 als het bedrijf dat alles anders zou gaan doen en dit zelfs vastlegde in een motto: #NeverSettle. Het b...

Beste Android-apps in de Google Play Store week 19

Elke week bespreken we in 'beste apps' weer een nieuwe selectie aan interessante apps die jouw aandacht verdienen. Niet elke...

OnePlus 9-camera verbeterd met beveiligingspatch mei

OnePlus heeft de camera van zijn laatste vlaggenschepen onder handen genomen met de beveiligingsupdate van de maand mei. De O...

'Xiaomi werkt aan roterende camera in de behuizing'

Een camera onder het scherm is al geruime tijd hebben we al vaker voorbij zien komen. Een flipcamera in de behuizing is daare...

'Samsung Galaxy S21 FE komt samen met Z Fold 3 op 19 augustus'

De Samsung Galaxy Z Fold 3 zal op 19 augustus voorgesteld worden tijdens een Galaxy Unpacked-evenement dat blijkt uit nieuwe...

'Google voegt weer nieuwe manier toe om Assistent te roepen'

Google gaat het binnenkort voor iedereen mogelijk maken om de aandacht van de Google Assistent te trekken door de powerknop o...

Vivo geeft toekomstige smartphones in de X-serie 3 Android-upgrades

Vivo heeft vandaag aangekondigd dat het zijn softwareondersteuning voor de X-serie uitbreidt. De flagships in de X-serie kunn...

Google Fit-tip: zo deel je je activiteiten op sociale media en in chatapps

Je kan in de Google Fit-app je workouts delen met familie en vrienden op sociale media of via chatapps. Je kan hierbij meerde...

Officieel: Nothing's eerste draadloze oordopjes worden volgende maand gelanceerd

'Nothing', het nieuwe bedrijf van OnePlus mede-oprichter Carl Pei, maakt de naam en details van zijn eerste product bekend. H...

Facebook vraagt gebruikers om artikelen te lezen voor ze te delen

Facebook zet zijn kruistocht tegen de verspreiding van desinformatie voort met een nieuwe waarschuwing die gebruikers in de a...

Lees meer

Net binnen

'Apple marktleider voor oortjes en koptelefoons in Nederland'

Apple is de grootste fabrikant van oortjes en koptelefoons, dat blijkt uit een onderzoek in Nederland. Het merk is vooral erg...

Officieel: Nothing's eerste draadloze oordopjes worden volgende maand gelanceerd

'Nothing', het nieuwe bedrijf van OnePlus mede-oprichter Carl Pei, maakt de naam en details van zijn eerste product bekend. H...

Facebook vraagt gebruikers om artikelen te lezen voor ze te delen

Facebook zet zijn kruistocht tegen de verspreiding van desinformatie voort met een nieuwe waarschuwing die gebruikers in de a...

'Google voegt weer nieuwe manier toe om Assistent te roepen'

Google gaat het binnenkort voor iedereen mogelijk maken om de aandacht van de Google Assistent te trekken door de powerknop o...

Google Fit-tip: zo deel je je activiteiten op sociale media en in chatapps

Je kan in de Google Fit-app je workouts delen met familie en vrienden op sociale media of via chatapps. Je kan hierbij meerde...

Lees meer