Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Apple en Google maken contactonderzoek-api openbaar voor overheden

vrijdag 22 mei 2020, 08:37 door Redactie, 9 reacties
Laatst bijgewerkt: 22-05-2020, 09:14

Apple en Google hebben hun contactonderzoek-api waar corona-apps gebruik van kunnen maken openbaar gemaakt voor overheden. Er gelden wel enkele voorwaarden voor het gebruik van de api. Zo mag de corona-app geen telefoonnummers en locatiegegevens verzamelen, is deelname vrijwillig en moeten gebruikers zelf bepalen om hun contactdata te delen.

De api van Apple en Google zorgt voor interoperabiliteit tussen Android- en iOS-toestellen die van bluetooth corona-apps gebruikmaken. Via de apps kunnen gebruikers hun contacten bijhouden en worden gewaarschuwd wanneer ze met een coronapatiënt in contact zijn gekomen of laten weten wanneer ze zelf besmet zijn geraakt. Ook de Nederlandse overheid gaat voor de nieuw te ontwikkelen corona-app van de api gebruikmaken.

In de aankondiging laten Apple en Google weten dat gebruik van de "Exposure Notifications" technologie opt-in is, het systeem geen locatiegegevens van het toestel verzamelt en wanneer iemand besmet blijkt te zijn het aan hem of haar is om dat via de bovenliggende corona-app te delen. Volgens de techbedrijven moeten deze maatregelen ervoor zorgen dat mensen beschikbare corona-apps ook daadwerkelijk gaan gebruiken.

De api is alleen beschikbaar voor goedgekeurde apps van gezondheidsautoriteiten die aan de gestelde eisen voldoen. App-ontwikkelaars moeten hiervoor een overeenkomst van de techbedrijven accepteren. "Er zullen beperkingen gelden voor de data die apps kunnen verzamelen wanneer ze van de API gebruikmaken, waaronder het niet kunnen benaderen van locatiediensten en beperkingen hoe de data is te gebruiken", aldus een uitleg van de techbedrijven.

Inmiddels zouden 23 landen interesse in de contactonderzoek-api hebben getoond. De corona-apps van sommige landen registreren echter het telefoonnummer van gebruikers en kunnen zodoende geen gebruik van de api maken. Ontwikkelaars van de Duitse, Oostenrijkse en Zwitserse corona-apps laten tegenover persbureau Reuters weten dat dit voor hun app geen probleem is.

Eerder waarschuwde Jaap-Henk Hoepman, universitair hoofddocent bij de Radboud Universiteit Nijmegen en privacyonderzoeker, op zijn persoonlijke blog dat de contactonderzoek-api een wolfs in schaapskleren is.

Criminelen probeerden ransomware te verspreiden via lek in Sophos-firewall
Universiteit Maastricht roept slachtoffers van ransomware op tot openheid
Reacties (9)
Reageer met quote
22-05-2020, 08:51 door linux4
Hoe kan een API zien of het door een app aangeroepen word welke wel of geen telefoonnummers en/of locatie data verzamelt? Die voorwaarde is toch niet softwarematig te controleren? Of zie ik dat verkeerd?
Reageer met quote
22-05-2020, 09:14 door iatomory
Door linux4: Hoe kan een API zien of het door een app aangeroepen word welke wel of geen telefoonnummers en/of locatie data verzamelt? Die voorwaarde is toch niet softwarematig te controleren? Of zie ik dat verkeerd?
De API calls gaan alleen werken voor applicaties op een allowlist. De apps zullen dus eerst door een (handmatige) review moeten om te bepalen of er locatiegegevens/telefoonnummers verzameld worden. Zie het dus als een uitgebreidere review die dan je normaal ondergaat als je een app in de Play Store/App Store wil aanbieden.
Reageer met quote
22-05-2020, 11:37 door Anoniem
Gokje: zo her en der slipt er een app doorheen en dan doen we een 'oops. sorry!'. En gaan gewoon verder met wat we aan het doen waren.
Reageer met quote
22-05-2020, 11:49 door souplost
Apple en Google hebben hun contactonderzoek-api waar corona-apps gebruik van kunnen maken openbaar gemaakt voor overheden.
Als het alleen voor overheden is is het niet openbaar.
Reageer met quote
22-05-2020, 12:47 door karma4
Door souplost: Als het alleen voor overheden is is het niet openbaar.
Het is voor overheden in te zien, voldoet aan de open source benadering.
Wat veel minder is dat overheden data moeten aanleveren aan Apple en Google zonder daar zelf controle over te hebben.
Het is de omgekeerde wereld. Je kunt Apple/Google als een invulling van Omnicorp zien. Slechte zaak die ontwikkeling.
Reageer met quote
22-05-2020, 13:58 door Anoniem
@karma4,

Open source op enkel op een "need to know" basis dus. De "zoveel-eyes" krijgen dat beperkte inzicht slechts.
Verder zal er wel een Amerikaans exportverbod gaan gelden.

Dan is niet alleen de invulling van globalistisch Omnicorp, dan is dat weer een voorbeeld van relatieve veiligheid via vaagheid. (security through obscurity).

Lees: https://www.darkreading.com/cloud/insecure-api-implementations-threaten-cloud/d/d-id/1137550

Onveilige interfaces zullen ons wel weer gaan opbreken. Kun je op wachten.
Zijn we het Cambridge Analytica drama al weer vergeten? De gebruiker vergeet snel.

Die er gigantisch van hebben geprofiteerd geenszins, die plannen op een flinke herhaling, mits onontdekt.

Wie trappen er steeds opnieuw weer in?
Re: https://nordicapis.com/5-major-modern-api-data-breaches-and-what-we-can-learn-from-them/

Mensen begrijpen nog steeds niet dat wij de regering zijn. De regering kan een app niet voor of tegen ons beschermen.
Dat ligt aan het vertrouwen van de eindgebruikers en die is in weerwil van de bewezen gang van zaken vaak grenzenloos.

Dit vaak ook bij gebrek aan een alternatief. Keer op keer wordt het vertrouwen van de eindgebruiker door zowel regering als groot-commercie weer geschonden en toch geven de onnozelen ze steeds opnieuw een hernieuwde kans.

Echte veiligheid is dubbelblind vastgestelde veiligheid en volledige transparentie.
Maar dat kunnen en willen betrokken partijen niet beloven, want dat schaadt hen in hun belangen.

Veiligheid wordt dus steeds een relatief veiligheidsbegrip. Garantie tot aan de installatie over het algemeen.
Je moet dus nu al gaan vrezen wat er met je data gebeurt en wie daarbij aan de knoppen draaien.

Ik vertrouw ze voor geen stuiver meer, trackrecord bewijst genoeg.

luntrus
Reageer met quote
22-05-2020, 16:15 door Anoniem
Door karma4:Wat veel minder is dat overheden data moeten aanleveren aan Apple en Google zonder daar zelf controle over te hebben. Het is de omgekeerde wereld. Je kunt Apple/Google als een invulling van Omnicorp zien. Slechte zaak die ontwikkeling.

Maar niet verbazingwekkend op een speelveld met maar enkele "mega-corporaties". Over nichemarkt gesproken.
Dat die corporaties daar dan vervolgens gebruik dan wel misbruikt van maken, is te verwachten.
En blijkbaar zijn overheden niet in bereid om (de macht van) die corporaties te breken.
Iets soortgelijks zie je in de gemeentelijke ICT markt (Centric/Pink) en de medicijnmarkt. Beide ook melkkoeien.
Reageer met quote
23-05-2020, 11:57 door Anoniem
We bevinden ons in een cyberwar wat betreft onze data. Dat geldt op alle niveau's.
Voor de IT beheerder die uw data moet beveiligen tegen "ja wat eigenlijk allemaal".
En hoe goed zijn ze daartoe in staat?

Hoe goed is uw website beveiligd op de achterliggende infrastructuur?

Hoe veilig zijn onze data tegen Big Tech slurpers and statelijke actoren/snoopers?
Waar kunnen cybercriminelen nog ongestoord hun gang gaan
of hebben al weer nieuwe wegen gebaand?

De oliehandel ligt op z'n r**t, maar de coke-bitcointjes rollen als nooit tevoor.
Cybercrime & Co ondervinden gouden dagen.

Uw rechten en vrijheden worden verder ingeperkt, uw plichten nemen navenant toe,
voor sommigen geldt dat echter geenszins.

Wat denkt men hier aan te gaan doen of wordt alles nog meer in onveilige zin op z'n kop gezet?
Wie beveiligt en bewaakt uw SSH sleutels? Wie bewaakt de cloud tegen grand abuse?

Wordt de gatenkaas niet eerder verder aangeboord?
Kan het Internet als het vergiet dat hun nu nadert te zijn, zo nog wel verder?
Of komt het bordje "Dit is het einde van Interwebz" nu zo langzaam aan wel eens een keer in zicht?
Het draait vaak nog onverklaarbaar dystopischer als ooit voort. Eigenlijk een mirakel.

Tal van prangende vragen.
Iemand met antwoorden?

luntrus
Reageer met quote
23-05-2020, 18:27 door Anoniem
Door iatomory:
Door linux4: Hoe kan een API zien of het door een app aangeroepen word welke wel of geen telefoonnummers en/of locatie data verzamelt? Die voorwaarde is toch niet softwarematig te controleren? Of zie ik dat verkeerd?
De API calls gaan alleen werken voor applicaties op een allowlist. De apps zullen dus eerst door een (handmatige) review moeten om te bepalen of er locatiegegevens/telefoonnummers verzameld worden. Zie het dus als een uitgebreidere review die dan je normaal ondergaat als je een app in de Play Store/App Store wil aanbieden.

Dus elke keer als als er een app wijzigt of bij komt dan moet het OS van alle smartphones geupdate worden (want deze controle wil je natuurlijk niet op dat moment doen door een lijst te (met kraakbare hashes) te downloaden waardoor je weer vatbaar bent voor een MITM aanval van een partij die je op dat moment een malafide app wil laten installeren.

Deze APP geeft in ieder geval overheden in bepaalde landen heel veel tools om smartphones van hun burgers ernstig uit te buiten. En dat kunnen natuurlijk ook burgers van andere landen zijn.

Een API is als een houten deur in een stenen fort; als je m niet wil gebruiken dan moet je m er ook niet in maken want dan is het alleen maar een zwakke plek. En hoeveel gebruikers staan nu werkelijk te trappelen om deze apps te gaan installeren...?

Van Google had je dit kunnen verwachten maar dat Apple nu voor een groot deel van de gebruikers dure iPhones onbruikbaar gaat maken (mensen kunnen geen beveiligingsupdates meer installeren omdat ze dan dit horror-framework erbij krijgen), zonder dit aan haar gebruikers te vragen dat gaat toch een stapje verder als ongevraagd muzieknummers toevoegen aan alle iTunes gebruikers. En dat terwijl de apps zonder API ook gewoon werken (die trappelende minderheid aan vrijwilligers moeten dan wel de app open laten, nou en..?)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Vacature
Vacature

Technisch Security Specialist

De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!

Lees meer
Vacature
Vacature

Engineer IT-operations

Nationaal Cyber Security Centrum

Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.

Lees meer
Vacature
Vacature

(Senior) Solutions-engineer

Nationaal Cyber Security Centrum

Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.

Lees meer

Welke messaging-app gebruik jij?

31 reacties
Aantal stemmen: 899
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter