CoronaMelder
De Nederlandse overheid zou normaal vanaf 1 september de CoronaMelder-app in heel Nederland beschikbaar maken, maar die deadline werd niet gehaald. Vandaag debatteert de Tweede kamer over de app voor contactonderzoek, want er moet nog over een benodigde wet worden gestemd die door de Eerste en Tweede Kamer moet worden goedgekeurd.
Al betekent het daarmee nog niet dat de CoronaMelder daarna meteen klaar is voor een landelijke introductie, want volgens minister Hugo de Jonge van Volksgezondheid blijven de huidige testen nog tot zeker midden september lopen. Nederlands app dat de GGD'en moet helpen in de strijd tegen het coronavirus is op dit moment enkel nog maar actief in de regio's Drenthe, Overijssel en delen van Gelderland.
Kwetsbaarheden ontdekt
Er is ook meer bekend over mogelijke oorzaken van het plotse uitstel, want uit bijlagen van de kamerbrief over de voortgang van de CoronaMelder-app blijkt dat er kwetsbaarheden zijn ontdekt in de broncode van de app. Het NFIR-cyberonderzoeksteam uit Den Haag heeft op vraag van het ministerie de app doorgelicht, en daarbij kwamen 25 kwetsbaarheden naar voren die inmiddels zijn verholpen. Uit de penetratietest kwamen geen kritieke fouten naar voren, maar wel één fout van hoge prioriteit. Dat blijkt uit een Managementsamenvatting die als bijlage diende van de Kamerbrief. In de bijlage treden de onderzoekers niet in details over de fouten.
Als een tweede proef op de som, liet Volksgezondheid ook het Eindhovense onderzoeksbureau Secura een duik nemen in de broncode. Daar kwamen vijf inconsistenties naar voren die wel uitgebreid werden omschreven. Daarin kwam naar voren dat de app slechts gedeeltelijk cryptografische handtekeningen controleert bij het valideren van sleutels. Wanneer de app een contact als risicovol bestempeld, wisselt de app zo'n anonieme sleutel uit, maar als die onvoldoende wordt gecontroleerd, kan daar in feite misbruik van worden gemaakt. Het is ook in strijd met de integriteitsvereisten die het door het ministerie zijn vooropgesteld.
Verder detecteert de app niet of een telefoon root-toegang heeft, en dat is volgens Secura risicovol. Smartphonegebruikers die hun telefoon 'rooten' (Andorid) of 'jailbreaken' (iOS) stellen volgens de onderzoekers de deur open voor ongewenste apps en andere effecten. Een waarschuwing voor gebruikers die hun toestel ge-root hebben is volgens de onderzoekers op zijn plaats. Alle bevindingen zijn te lezen in het Source Code Review-document als bijlage van de Kamerbrief.
Extra vertrouwensmaatregel
Minister de Jonge zegt in de Kamerbrief dat de adviezen van de onderzoeksinstellingen worden opgevolgd. Daarnaast vertelt hij ook over een nieuwe stap die nu genomen wordt in de ontwikkeling van overheidsapplicaties. Het ministerie publiceert een verklaring van een accountant die bevestigd dat de applicatie die beschikbaar is op de App Store en Play Store daadwerkelijk ook de broncode bevat die de ontwikkelaars open-source op GitHub hebben gedeeld.
"Ik heb tevens een notaris laten meekijken of de versies die beschikbaar zijn gesteld aan Apple en Google voor de app-winkels dezelfde versies zijn die op GitHub zijn gepubliceerd en waarop door de community is meegekeken. Hiertoe heeft de notaris een zogenaamde ‘verified build’-verklaring afgegeven", dat zegt de Jonge in zijn Kamerbrief.
Wil je op de hoogte blijven van het laatste nieuws over CoronaMelder? Download dan onze Android-app en volg ons op Telegram en Twitter.
