Onderzoekers van de Duitse hackersclub CCC hebben verschillende kwetsbaarheden in de onlangs gelanceerde gezondheidsapp van het Robert Koch Instituut (RKI) ontdekt, het Duitse RIVM. De app heet "Corona-Datenspende" (Corona-Datadonatie) en moet worden gekoppeld aan een smartwatch of fitnesstracker.

Eenmaal actief verzamelt de app automatisch informatie over sportactiviteiten, slaap en slaappatronen, actieve periodes en rustperiodes. Ook de hartslag, hartritme, stressniveau, temperatuur, gewicht en bloeddruk worden automatisch opgeslagen. Gebruikers kunnen er zelf voor kiezen om hun leeftijd, lengte, geslacht en gewicht op te geven. Verder moet voor het gebruik van de app de postcode worden ingevoerd.

Volgens het RKI maken veel mensen in Duitsland gebruik van fitnesstrackers en smartwatches om hun gezondheid te monitoren. Wanneer ze ziek worden zullen deze gegevens veranderen. "Dit houdt in dat typische Covid-19-symptomen zoals koorts ook via de app zijn te detecteren", aldus het instituut in de aankondiging begin deze maand.

Met de informatie wil het RKI uiteindelijk op postcodeniveau de verspreiding van potentieel geïnfecteerde personen gaan weergeven. Zo moet sneller duidelijk worden waar infecties zich voordoen en hoe effectief genomen maatregelen zijn. Het instituut laat verder weten dat alle data wordt gepseudonimiseerd en niet geanonimiseerd. Meer dan 400.000 mensen zouden inmiddels van de app gebruikmaken.

Onderzoek

Het RKI heeft de broncode van de app niet vrijgegeven. Via een "blackbox-analyse" wisten onderzoekers van de CCC de app te analyseren en ontdekten verschillende problemen. Zo is de pseudonimisering onvoldoende. De gevoelige gezondheidsgegevens van gebruikers worden namelijk niet op de smartphone gepseudonimiseerd, maar aan de kant van het RKI. Alle data inclusief echte namen worden naar het instituut gestuurd en daar gepseudonimiseerd, zonder dat gebruikers dit kunnen controleren.

Verder blijkt dat het RKI de data direct bij de aanbieder van de fitnesstracker ophaalt en niet van de smartphone van gebruikers. Zo heeft het instituut in potentie toegang tot de echte naam van de gebruiker en diens gezondheidsgegevens voordat het "doneren" van de data begint, waarbij de gebruikers een toegangscode moet opgeven. Deze toegang van het RKI blijft ook na het verwijderen van de app bestaan. Daarnaast is ingevoerde data kwetsbaar voor man-in-the-middle-aanvallen. Verder stellen de onderzoekers dat het RKI geen effectieve toestemming krijgt voor het verwerken van de data, omdat het niet kan garanderen dat de gebruiker van wie data wordt verwerkt ook daadwerkelijk de gebruiker in kwestie is.

Volgens de CCC heeft het RKI bij de ontwikkeling van de app verschillende "best practices" geschonden en moeten de aanbevolen herstelmaatregelen zo snel als mogelijk worden doorgevoerd. De hackersclub heeft de bevindingen met het RKI gedeeld en is nu met het instituut in overleg. "Het verwaarlozen van de digitalisering in de gezondheidszorg in de afgelopen vijftien jaar heeft het veel lastiger gemaakt om dit soort apps snel en effectief te kunnen gebruiken", zo concludeert de CCC.