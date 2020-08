De Canadese corona-app Covid Alert lekte het ip-adres van gebruikers aan Google, zo ontdekte softwareontwikkelaar Sean Coates die de app analyseerde. Covid Alert moet het bron- en contactonderzoek van de Canadese gezondheidsautoriteiten ondersteunen.

Net als andere corona-apps maakt ook Covid Alert gebruik van het door Apple en Google ontwikkelde framework. Op de pagina van de app laat de Canadese overheid weten dat de privacy van gebruikers is beschermd. Coates besloot het verkeer dat de app genereert via de tool mitmproxy te bekijken en zag dat er verbinding werd gemaakt met een domein van Google.

Het ging om een endpoint waarmee ontwikkelaars kunnen bepalen of het apparaat van de gebruiker zich achter een zogenoemde "captive portal" bevindt. Het gaat dan bijvoorbeeld om wifi-netwerken waarbij een gebruiker eerst moet inloggen of een betaling moet uitvoeren voordat hij toegang tot internet krijgt.

Volgens Coates was dit waarschijnlijk niet de bedoeling van de ontwikkelaars. "Maar het stoorde me dat een app, ontwikkeld voor het tracken van interactie tussen (de apparaten van) mensen, en waarvan de overheid wil dat we die gebruiken, Google vertelt dat ik 'm gebruik en daarbij mijn ip-adres doorgeeft."

Coates waarschuwde de ontwikkelaars, die vervolgens een nieuwe versie van de app uitbrachten. De betreffende Google-url werd in de nieuwe versie niet meer aangeroepen. In de communicatie richting gebruikers lieten de ontwikkelaars weten dat de manier was aangepast waarop de app op een internetverbinding controleert.