Kwetsbaarheden corona-apps blootgelegd in securitytest

De KPMG deed onderzoek naar de technische veiligheid en betrouwbaarheid van de geselecteerde 'corona-apps' en achterliggende systemen. De onderzoekers troffen meerdere serieuze problemen aan. Zo maken ontwikkelaars van de apps veelal geen gebruik van 'secure coding' principes. Hierdoor zijn bekende en te verwachten beveilingsmaatregelen niet geïmplementeerd. De onderzoekers stellen dat zodoende ernstige kwetsbaarheden ontstaan die makkelijk voorkomen hadden kunnen worden. 

Verder blijkt dat de apps gebruikmaken van "hardcoded" wachtwoorden die leesbaar in de broncode staan. Met deze wachtwoorden kon er toegang worden verkregen tot databases en de achterliggende infrastructuur, inclusief datasets buiten het domein van de te testen corona-applicatie. Ook ontdekken de onderzoekers dat de achterliggende infrastructuur (inclusief de API) veelal zonder de benodigde identificatie is te misbruiken. Wanneer er wel beveiliging aanwezig is blijkt die eenvoudig te omzeilen. Een aanvaller kan zo toegang tot vertrouwelijke data krijgen of foutieve data opvoeren.

De apps blijken ook niet altijd uit te gaan van het principe om zo min mogelijk gevoelige gegevens op de telefoon van de eindgebruiker op te slaan. Wel opgeslagen data wordt daarbij onversleuteld opgeslagen. Wat de onderzoekers ook opvalt is dat de Android-apps om toegang tot onder andere de microfoon of foto's vragen. "De gewenste permissies zijn mogelijk te verklaren vanuit de gewenste functionaliteit maar de eindgebruiker zal dit naar waarschijnlijkheid ook wantrouwen en niet accepteren", zo merken ze op.

Het ministerie wordt door de KPMG aangeraden dat een integraal security- en privacyonderzoek gericht op het gehele concept bestaande uit organisatie, processen en technologie van belang is, voordat er tot een volledige implementatie wordt overgegaan. 

VPNGids.nl keek naar hoe andere landen met corona-apps omgaan met privacy.