De app die de politie en gemeenten aanboden bij grote evenementen, zoals Koningsdag, de wandelvierdaagse en de Gay Pride, is lek, ontdekte een beveiligingsonderzoeker. Het blijkt mogelijk om de locatie van gebruikers te onderscheppen en de inhoud van de app te manipuleren.
De app communiceert onbeveiligd met twee verschillende servers, waarbij de gegevens in platte tekst worden verstuurd, ontdekte Mark Koek van QSec, die de iOS-versie onderzocht. Het gaat om de app die bezoekers van grote evenementen zoals Koningsdag kunnen installeren, waarbij ze met de ‘druktemeter’ kunnen zien hoe druk het in de stad is. De app werd voor het laatst gebruikt tijdens het Leidens Ontzet, waarbij de stad het einde van het beleg van de Spanjaarden viert.
De applicatie blijkt onder meer onversleuteld de locatie van een gebruiker te versturen als hij de applicatie bedient, ontdekte Koek. Daardoor zou iemand met toegang tot het netwerk de locatie van gebruikers kunnen onderscheppen. Wanneer de app op de achtergrond draait, wordt de locatie ook verstuurd om de drukte van het evenement te kunnen bepalen, maar die datastroom is op iOS wel versleuteld. Hoe dat zit in de Android-versie, heeft Koek niet onderzocht.
Ook haalt de app via een onversleutelde verbinding informatie van een server op, die wordt gebruikt voor het tonen van informatie op de ‘actueel’-pagina.
Lees verder via Tweakers.
Foto via van_mij