Sfeerfoto van Kassa

Kassa

Zaterdag 26 september om 19:05npo1

Het consumentenplatform van BNNVARA met Vraag & Beantwoord, dossiers en het laatste nieuws. Bekijk actuele onderwerpen en uitzending gemist online!
Kassa

Kwetsbaarheden corona-apps blootgelegd in securitytest

20 apr 2020
  •  
leestijd 2 minuten
smartphone telefoon appen bellen 930
Een securitytest van de 'corona-apps' die deze week door de overheid werden geselecteerd legde meerdere kwetsbaarheden bloot, waaronder het gebruik van 'hardcoded' wachtwoorden. Zo kan toegang worden verkregen tot databases en de achterliggende infrastructuur, meldt een rapport van KPMG, dat in opdracht van het ministerie van Volksgezondheid onderzoek deed.
De KPMG deed onderzoek naar de technische veiligheid en betrouwbaarheid van de geselecteerde 'corona-apps' en achterliggende systemen. De onderzoekers troffen meerdere serieuze problemen aan. Zo maken ontwikkelaars van de apps veelal geen gebruik van 'secure coding' principes. Hierdoor zijn bekende en te verwachten beveilingsmaatregelen niet geïmplementeerd. De onderzoekers stellen dat zodoende ernstige kwetsbaarheden ontstaan die makkelijk voorkomen hadden kunnen worden. 

Aanvaller kan toegang krijgen tot vertrouwelijke data

Verder blijkt dat de apps gebruikmaken van "hardcoded" wachtwoorden die leesbaar in de broncode staan. Met deze wachtwoorden kon er toegang worden verkregen tot databases en de achterliggende infrastructuur, inclusief datasets buiten het domein van de te testen corona-applicatie. Ook ontdekken de onderzoekers dat de achterliggende infrastructuur (inclusief de API) veelal zonder de benodigde identificatie is te misbruiken. Wanneer er wel beveiliging aanwezig is blijkt die eenvoudig te omzeilen. Een aanvaller kan zo toegang tot vertrouwelijke data krijgen of foutieve data opvoeren.
De apps blijken ook niet altijd uit te gaan van het principe om zo min mogelijk gevoelige gegevens op de telefoon van de eindgebruiker op te slaan. Wel opgeslagen data wordt daarbij onversleuteld opgeslagen. Wat de onderzoekers ook opvalt is dat de Android-apps om toegang tot onder andere de microfoon of foto's vragen. "De gewenste permissies zijn mogelijk te verklaren vanuit de gewenste functionaliteit maar de eindgebruiker zal dit naar waarschijnlijkheid ook wantrouwen en niet accepteren", zo merken ze op.
Het ministerie wordt door de KPMG aangeraden dat een integraal security- en privacyonderzoek gericht op het gehele concept bestaande uit organisatie, processen en technologie van belang is, voordat er tot een volledige implementatie wordt overgegaan. 
Bron: Security.nl

Meer over:

, , ,

Altijd op de hoogte blijven van het laatste nieuws?

Meld je snel en gratis aan voor de Kassa nieuwsbrief!