in

Overheid en ICT: Kwetsbaarheden ontdekt in broncode CoronaMelder

53e0d54a4f52ae14f1dc8460962a3f7f1d37d8f85254794f7d2f72d4914e 640 corona app

De broncode van de veelbesproken CoronaMelder-app bevat vier tegenstrijdigheden. Dat blijkt uit een rapport van onderzoeksbureau Secura dat in opdracht van het ministerie van VWS de code onderzocht. Ze stellen vast dat er een verouderde versie van een softwarebibliotheek is gebruikt. Ook krijgen eigenaren van een gekraakt toestel geen melding dat ze een verhoogd beveiligingsrisico lopen.

Zo maakt de iOS-applicatie van CoronaMelder gebruik van een verouderde versie van een softwarebibliotheek voor de transportbeveiliging en implementatie van andere cryptografische functies.

Ten tweede worden sommige cryptografische handtekeningen, die worden gebruikt om de sleutels te valideren die blootstellingsmeldingen ontgrendelen (zogenaamde tijdelijke blootstellingssleutels of TEK's), slechts gedeeltelijk gecontroleerd. Hierdoor zouden in theorie alle houders van een recent door KPN afgegeven PKI -certificaat geldige handtekeningen kunnen overleggen. Dat schendt volgens de onderzoekers gedeeltelijk de integriteitsvereisten die in de architectuur zijn vastgelegd.

Ten derde voert de app geen controle uit om te zien of deze op een ge-root of gejailbreakt apparaat draait. In zo'n geval is het toestel gekraakt om bijvoorbeeld ongeautoriseerde programma's te installeren of beperkingen van de fabrikant te omzeilen. De onderzoekers wijzen erop dat het uitvoeren van een app op een ge-root (Android) of gejailbreakt (iOS) apparaat beveiligings- en privacyrisico's met zich meebrengt. ‘Dit kan de integriteit van alle apps en communicatie schaden.'

Ten vierde noemen de onderzoekers zogenoemde ‘afleidingsberichten' die verzonden worden om het voor aanvallers moeilijker te maken om zinvolle informatie uit berichten te halen. ‘Als de app is uitgeschakeld, worden er nog steeds ‘lokmeldingen' verzonden. Dit is niet volledig in overeenstemming met de functionele vereisten en kan onder specifieke omstandigheden een aanvaller helpen om gebruikers van de app te identificeren, zelfs als de app is uitgeschakeld.'

Het rapport wordt door het Eindhovense onderzoeksbureau Secura als vertrouwelijk aangeduid. Dat is opmerkelijk omdat het als openbaar te downloaden bijlage is toegevoegd aan de Kamerbrief. In die brief informeert minister De Jonge de over de voortgang van de ontwikkeling van de CoronaMelder.

Lees verder bij de bron: Privacynieuws

doneer

JDreport.com publiceert verhalen uit een flink aantal andere "onafhankelijke" nieuwsbronnen, blogs en wat al niet meer. De meningen in dit artikel zijn van de bron en weerspiegelen niet JDreport.com.


0 0 stemmen
Artikelbeoordeling
Abonneer
Laat het weten als er
guest
0 Reacties
Inline feedbacks
Bekijk alle reacties
rechter 1559908088

Massaproces tegen de niet werkende PCR test

hedgehogs wereldwijde pandemie 02a

Animatie kinderfilm uit 2016 kondigde pandemie, verplichte vaccinaties en op je lichaam aangebrachte trackers aan