Een kwetsbaarheid in de verplichte corona-app van Qatar maakte het mogelijk om toegang tot gevoelige persoonlijke gegevens van meer dan één miljoen gebruikers te krijgen. Het ging onder andere om naam, nationaal identiteitsnummer, gezondheidsstatus en locatiegegevens, zo meldt Amnesty International op basis van eigen onderzoek.

De Ehteraz-app is ontwikkeld door het ministerie van Binnenlandse Zaken van Qatar en maakt gebruik van gps en bluetooth om contacten van gebruikers bij te houden. Afgelopen vrijdag werd het verplicht voor burgers om de app te installeren. Wie de app niet installeert kan een gevangenisstraf van drie jaar en een boete van 50.000 euro krijgen. Gegevens die de app verzamelt worden naar een centrale server van de overheid geüpload. Daarnaast kunnen de autoriteiten real-time de locatie van gebruikers volgen.

De gegevens die naar de server werden geüpload waren echter voor iedereen op internet toegankelijk, aangezien er geen beveiligingsmaatregelen aanwezig waren om de data te beschermen, aldus Amnesty International. De Ehteraz-app laat via een qr-code de gezondheidsstatus van de gebruiker zien. De qr-code gebruikt een kleurensysteem om de gezondheid van de gebruiker aan te geven.

Zo wordt de kleur rood gebruikt voor mensen die corona hebben. Met geel wordt aangegeven dat de gebruiker in quarantaine hoort te zijn en wordt grijs gebruikt om gevallen aan te geven waarvan wordt verdacht dat de gebruiker corona heeft of is blootgesteld aan het virus. Een groene qr-code geeft aan dat de gebruiker gezond is. Naast de kleur bevatte de qr-code ook persoonlijke informatie over de gebruiker, zoals de naam in het Engels en Arabisch, quarantainelocatie en naam van medische instelling waar de coronapatiënt wordt behandeld.

De qr-code wordt door de app bij de centrale server opgevraagd. Hiervoor maakt de app gebruik van het nationaal identiteitsnummer waarmee de gebruiker zich registreerde. Bij het opvragen van de qr-code vond er geen aanvullende authenticatie plaats. Hierdoor was het mogelijk voor een aanvaller om zich met een willekeurig identiteitsnummer te registreren en vervolgens de qr-code van de burger in kwestie op te vragen. Daar komt bij dat het nationaal identiteitsnummer van Qatar een consistent formaat volgt. Zodoende is het mogelijk om alle combinaties te genereren en daarmee de gegevens van de betreffende Ehteraz-gebruikers op te vragen die op de server waren verzameld.

Amnesty waarschuwde de autoriteiten in Qatar, waarna de namen en locatiegegevens uit de qr-code werden verwijderd. Daarnaast werd er afgelopen zondag een nieuwe versie van de app uitgebracht die voorkomt dat onbevoegden gegevens van gebruikers kunnen verzamelen. Amnesty heeft de nieuwe aanpassingen nog niet getest.