image

Lek in corona-apps laat aanvaller gebruikers volgen zelfs wanneer app is verwijderd

dinsdag 26 mei 2020, 13:16 door Redactie, 20 reacties

Een bluetooth-gerelateerde kwetsbaarheid in verschillende corona-apps, waaronder die van Australië en Singapore, maakt het mogelijk voor aanvallers om gebruikers gedurende lange tijd te volgen, zelfs wanneer de app is verwijderd. Dat hebben onderzoekers aangetoond.

Het beveiligingslek in de Androidversie van de Australische COVIDSafe-app wordt aangeduid als CVE-2020-12856. Volgens onderzoekers Jim Mussared (George Robotics) en Alwen Tiu (The Australian National University) zorgt de kwetsbaarheid ervoor dat gebruikers gedurende lange tijd zijn te volgen. Daarnaast zou het mogelijk ook andere bluetooth-gebaseerde aanvalsvectoren introduceren.

Details over de kwetsbaarheid zijn nog onder een embargo van 45 dagen dat de onderzoekers zichzelf hebben opgelegd. Dit moet de app-ontwikkelaars de tijd geven om het beveiligingslek te verhelpen. Na het verstrijken van de embargoperiode op 19 juni zullen de onderzoekers, die de kwetsbaarheid op 5 mei ontdekten, alle details openbaar maken.

De aard van het lek maakt een "re-identification" aanval mogelijk. Op deze manier kan een aanvaller de gebruiker op meerdere locaties en momenten volgen, terwijl de app dit eigenlijk zou moeten voorkomen. Het probleem speelt vooral bij de Androidversie van de app, maar ook de iPhone-versie is kwetsbaar voor een ernstige variant van de aanval.

De COVIDSafe-app verscheen eind april voor Android en iOS. "Binnen uren waren verschillende ernstige privacy- en functionaliteitsproblemen ontdekt", aldus Mussared in een wekelijkse update over de gevonden problemen met de app. "Vier weken later blijkt deze app een privacyrisico voor iedereen die hem installeert en er is nog geen datum bekend wanneer de problemen zullen zijn verholpen."

Volgens Mussared staan de gevonden privacyproblemen los van de functionaliteit van de app en hadden ze tijdens de ontwikkeling en controle gevonden moeten worden. Gebruikers die zich zorgen maken om te worden gevolgd krijgen dan ook het advies om de COVIDSafe-app niet te installeren.

Reacties (20)
26-05-2020, 13:50 door Anoniem
De COVIDSafe-app verscheen eind april voor Android en iOS. "Binnen uren waren verschillende ernstige privacy- en functionaliteitsproblemen ontdekt", aldus Mussared in een wekelijkse update over de gevonden problemen met de app. "Vier weken later blijkt deze app een privacyrisico voor iedereen die hem installeert en er is nog geen datum bekend wanneer de problemen zullen zijn verholpen."

Bugs of undocumented features?
Je zou haast het laatste gaan denken.

In plaats van met stoom en kokend water nieuwe technologisch snufjes gaan ontwikkelen, met alle kinderziekten, bugs en undocumented features die daar bij komen kijken, hadden overheden er beter aan gedaan eerst de traditionele methoden in te zetten en op te schalen.
Technologie kan een hulpmiddel zijn. Maar iets bruikbaars, en kwalitatief goed en veilig ontwikkelen kost gewoon tijd.

Technologie is geen magsiche stokje. Anders was er nu al een vaccin geweest. Daarvan wordt ook geroepen dat dat minstens een jaar kan duren. Waarom zou een goed werkende en veilige app dan in 1 week tijd beschikbaar kunnen zijn?
Dat is zelfs de Operating System-boeren nog nooit gelukt.

En net als bij KP en terroisme mag je hier eigenlijk niets negatiefs over zeggen.
Er is een pandemie gaande. Alle andere issues zijn ondergeschikt. Mond houden.
(Niet dus)
26-05-2020, 14:18 door Anoniem
Ik maak geen gebruik van een smartphone (slimme devices)
mis ik iets?

Oja ik mis de stress,ongemak,privacy problemen,beveiligings-problemen
burger controle etc

Burger 1998
26-05-2020, 14:26 door Anoniem
Ze doen het expres, buitenkansje.
26-05-2020, 15:00 door Anoniem
Alle complottheorieën kunnen weer van stal gehaald worden!
26-05-2020, 15:01 door Anoniem
Ach altijd hetzelfde de snelle app jongens brengen de overheid fabels bij over de mogelijkheden van app’s, en de security mensen mogen de shit weer ruimen..
26-05-2020, 15:04 door Erik van Straten
Sneu zeg, die kwetsbaarheden - net nou de app zo'n groot succes is... De Australische overheid is dolblij dat alle moeite niet voor niets is geweest, want van de 6 miljoen mensen die de app gedownload hebben, kon er in elk geval één mogelijk besmette persoon mee worden opgespoord!

Of die persoon daadwerkelijk besmet is (het dus niet om een false positive ging, en die persoon onnodig in quarantaine zit) is niet bekend.

Meer info: https://www.security.nl/posting/652884/Risico%27s+Corona+tracking+app#posting658504
26-05-2020, 15:27 door Anoniem
Door Erik van Straten: Sneu zeg, die kwetsbaarheden - net nou de app zo'n groot succes is... De Australische overheid is dolblij dat alle moeite niet voor niets is geweest, want van de 6 miljoen mensen die de app gedownload hebben, kon er in elk geval één mogelijk besmette persoon mee worden opgespoord!

Of die persoon daadwerkelijk besmet is (het dus niet om een false positive ging, en die persoon onnodig in quarantaine zit) is niet bekend.

Meer info: https://www.security.nl/posting/652884/Risico%27s+Corona+tracking+app#posting658504
Maar het echte probleem is dat overheden dit niet kunnen of willen begrijpen en ze hun stokpaardje niet laten vallen.

Mijn inziens is dat een app niet nodig is met gezond verstand kun je veel meer bereiken.

En ook de kenners op deze site die deze hebben gepromoot als de heilige graal, hebben de plank volledig misgeslagen, jammer van hun had je meer mogen verwachten. En dit is weer het voordeel van niet anoniem zijn weet je wie wel kennis
heeft.
26-05-2020, 16:51 door MrMerlin
Door Anoniem: Ik maak geen gebruik van een smartphone (slimme devices)
mis ik iets?

Oja ik mis de stress,ongemak,privacy problemen,beveiligings-problemen
burger controle etc

Burger 1998

En als dadelijk de App "vrijwillig verplicht" is, ook toegang tot winkels, bedrijven etc etc
26-05-2020, 17:14 door spatieman
Door MrMerlin:
Door Anoniem: Ik maak geen gebruik van een smartphone (slimme devices)
mis ik iets?

Oja ik mis de stress,ongemak,privacy problemen,beveiligings-problemen
burger controle etc

Burger 1998

En als dadelijk de App "vrijwillig verplicht" is, ook toegang tot winkels, bedrijven etc etc

Dan sponsort de staat de telefoon maar, ze kunnen mensen niet verplichten een schlimme foon te kopen.
26-05-2020, 17:56 door Anoniem
Door Erik van Straten: Sneu zeg, die kwetsbaarheden - net nou de app zo'n groot succes is... De Australische overheid is dolblij dat alle moeite niet voor niets is geweest, want van de 6 miljoen mensen die de app gedownload hebben, kon er in elk geval één mogelijk besmette persoon mee worden opgespoord!

Of die persoon daadwerkelijk besmet is (het dus niet om een false positive ging, en die persoon onnodig in quarantaine zit) is niet bekend.

Meer info: https://www.security.nl/posting/652884/Risico%27s+Corona+tracking+app#posting658504

En de privacy van 6 miljoen te grazen genomen.
26-05-2020, 17:57 door Anoniem
Door spatieman:
Door MrMerlin:
Door Anoniem: Ik maak geen gebruik van een smartphone (slimme devices)
mis ik iets?

Oja ik mis de stress,ongemak,privacy problemen,beveiligings-problemen
burger controle etc

Burger 1998

En als dadelijk de App "vrijwillig verplicht" is, ook toegang tot winkels, bedrijven etc etc

Dan sponsort de staat de telefoon maar, ze kunnen mensen niet verplichten een schlimme foon te kopen.

Domme telefoons van slimme mensen zijn ook gewoon traceerbaar.
26-05-2020, 19:02 door Anoniem
Maar heb je geen smartphone met instant covid-19 app, dan moet je elke tien dagen van je baas getest worden.
Kun je vrijwel niet meer zonder problemen deelnemen aan de maatschappij, word je een digibetisch paria.

Je blijft dan vrijwel opgehokt zitten als een ouwe duif, waarvan alle vluchten zijn geschorst.
Je wordt niet meer geringd en geklokt. Prijzen win je zeker niet meer.

Dat wordt je so wie so ook als eenmaal de vrijwel verplichte globale vaccinatieronde komt en je doet daar niet aan mee.
Je komt in ieder geval op een heleboel openbare adressen dan niet meer binnen.

Men gaat je weren van Whatsapp, want covid-19 ontkenner en dat kost mij sociale punten met jou in mijn adresboek.
Je wordt het eerst aangegeven door ...?

Wanneer hadden we dat ook alweer voor het laatst in Nederland en Groot-Duitsland?
Zworen zij niet terug te komen na '45?

Nu hoef je met 70+ niet meer naar de kinderopvang, maar toch is het wel even rillen zonder te chillen.
Alle wegen leiden thans naar Bill Gates.

J.O.
26-05-2020, 20:58 door Remmilou
Wat zou er eerder zijn...
Een goede privacy respecterende app, of een vaccin?
26-05-2020, 21:11 door Anoniem
Door Remmilou: Wat zou er eerder zijn...
Een goede privacy respecterende app, of een vaccin?

Ik denk dat je bedoelt:

Een goed werkende en privacy respecterende app, of een effectief vaccin?
26-05-2020, 22:11 door Anoniem
Allebei, een goede app of een deugdelijk vaccin (is nog niet eerder iemand gelukt) liggen nog ver weg.

#sockpuppet
26-05-2020, 22:21 door Anoniem
Nou, dat eerste bestaat niet. Dus eh...
27-05-2020, 07:39 door karma4
Door Remmilou: Wat zou er eerder zijn... Een goede privacy respecterende app, of een vaccin?
Je vraagt naar iets voor de hand liggend.
Een goede privacy respecterende app, dat is een onmogelijkheid, er is een grens aan privacy naar verwantwoording afleggen.
Daar heeft een vaccin geen last van, elk vaccin in je vraag voldoet ongeacht het aantal nare effecten, zelfs clorohydroxine.
Je hebt niet de eis gesteld dat het vaccin absoluut veilig moet zijn en niemand ook maar iets als nadelig effect mag merken.
27-05-2020, 08:06 door Bitje-scheef
Door Remmilou: Wat zou er eerder zijn...
Een goede privacy respecterende app, of een vaccin?

Ontwikkelen kost tijd, of het nu voor het vaccin is of een goede app. Testen is de sleutel tot verfijning !
27-05-2020, 10:47 door SPer
Door spatieman:
Door MrMerlin:
Door Anoniem: Ik maak geen gebruik van een smartphone (slimme devices)
mis ik iets?

Oja ik mis de stress,ongemak,privacy problemen,beveiligings-problemen
burger controle etc

Burger 1998

En als dadelijk de App "vrijwillig verplicht" is, ook toegang tot winkels, bedrijven etc etc

Dan sponsort de staat de telefoon maar, ze kunnen mensen niet verplichten een schlimme foon te kopen.
Ze konden mensen wel verplichten om een id-kaart te kopen(mocht je geen andere identificatie middelen hebben) , dus droom zachtjes verder .
27-05-2020, 13:17 door Anoniem
Snel in elkaar geflansde rommel is een recept voor dit soort onvolkomenheden.
Op nummer 1 staat functionaliteit.
Als er haast is geboden, kijkt men niet of nauwelijks verder dan dat het functioneert zoals bedacht.
Er wordt snel nog even een functioneel testje gedaan, en als dit in orde lijkt is Kees klaar,
en wordt het huppetee op de markt gebracht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.