Logo Kassa
Het consumentenplatform van BNNVARA.

Kwetsbaarheden corona-apps blootgelegd in securitytest

20-04-2020
  •  
leestijd 2 minuten
  •  
smartphone telefoon appen bellen 930
Een securitytest van de 'corona-apps' die deze week door de overheid werden geselecteerd legde meerdere kwetsbaarheden bloot, waaronder het gebruik van 'hardcoded' wachtwoorden. Zo kan toegang worden verkregen tot databases en de achterliggende infrastructuur, meldt een rapport van KPMG, dat in opdracht van het ministerie van Volksgezondheid onderzoek deed.
De KPMG deed onderzoek naar de technische veiligheid en betrouwbaarheid van de geselecteerde 'corona-apps' en achterliggende systemen. De onderzoekers troffen meerdere serieuze problemen aan. Zo maken ontwikkelaars van de apps veelal geen gebruik van 'secure coding' principes. Hierdoor zijn bekende en te verwachten beveilingsmaatregelen niet geïmplementeerd. De onderzoekers stellen dat zodoende ernstige kwetsbaarheden ontstaan die makkelijk voorkomen hadden kunnen worden. 

Aanvaller kan toegang krijgen tot vertrouwelijke data

Verder blijkt dat de apps gebruikmaken van "hardcoded" wachtwoorden die leesbaar in de broncode staan. Met deze wachtwoorden kon er toegang worden verkregen tot databases en de achterliggende infrastructuur, inclusief datasets buiten het domein van de te testen corona-applicatie. Ook ontdekken de onderzoekers dat de achterliggende infrastructuur (inclusief de API) veelal zonder de benodigde identificatie is te misbruiken. Wanneer er wel beveiliging aanwezig is blijkt die eenvoudig te omzeilen. Een aanvaller kan zo toegang tot vertrouwelijke data krijgen of foutieve data opvoeren.
De apps blijken ook niet altijd uit te gaan van het principe om zo min mogelijk gevoelige gegevens op de telefoon van de eindgebruiker op te slaan. Wel opgeslagen data wordt daarbij onversleuteld opgeslagen. Wat de onderzoekers ook opvalt is dat de Android-apps om toegang tot onder andere de microfoon of foto's vragen. "De gewenste permissies zijn mogelijk te verklaren vanuit de gewenste functionaliteit maar de eindgebruiker zal dit naar waarschijnlijkheid ook wantrouwen en niet accepteren", zo merken ze op.
Het ministerie wordt door de KPMG aangeraden dat een integraal security- en privacyonderzoek gericht op het gehele concept bestaande uit organisatie, processen en technologie van belang is, voordat er tot een volledige implementatie wordt overgegaan. 
Bron: Security.nl
Delen:

Praat mee

Onze spelregels.

0/1500 Tekens
Bedankt voor je reactie! De redactie controleert of je bericht voldoet aan de spelregels. Het kan even duren voordat het zichtbaar is.

Altijd op de hoogte blijven van het laatste nieuws?

Meld je snel en gratis aan voor de Kassa nieuwsbrief!