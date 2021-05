De CoronaMelder-app zal vanaf vanmiddag vijf uur weer waarschuwingen van besmette gebruikers versturen. De mogelijkheid om waarschuwingen te versturen werd wegens een privacylek in Android tijdelijk door demissionair minister De Jonge van Volksgezondheid uitgeschakeld. Het probleem is door Google verholpen en de betreffende update is na dit weekend wereldwijd uitgerold. Daarop heeft De Jonge nu besloten om vanaf vanmiddag weer waarschuwingen via de app te versturen.

Onderzoekers van AppCensus ontdekten dat gevoelige data van corona-apps toegankelijk is voor voorgeïnstalleerde apps op Androidtoestellen. Informatie van de apps, waaronder uitgezonden en ontvangen codes van andere gebruikers, wordt in de systeemlog van Android opgeslagen, waar honderden vooraf geïnstalleerde third-party apps toegang toe hebben. Deze apps zouden de informatie kunnen uitlezen en koppelen aan de gebruiker. Zo is het mogelijk om te achterhalen of de gebruiker besmet is of is geweest en of er contact met besmette personen heeft plaatsgevonden. Het probleem is niet aanwezig op iOS.

"Hoewel de oplossing dus bij Google ligt en zij gemeld hebben dit op te zullen lossen, heb ik eerder deze week besloten het delen van codes van Nederlandse gebruikers van CoronaMelder die zich besmet hebben gemeld in de app voor 48 uur stop te zetten. Dit om de gevolgen van een mogelijk datalek te beperken", schrijft de minister in een brief aan de Tweede Kamer. Afgelopen maandag werd de Autoriteit Persoonsgegevens over het mogelijke datalek ingelicht.

Google laat weten dat het probleem inmiddels is verholpen via een update voor Play services, waarbij in versie 211290003 en in de versies 211515000 en hoger de fout niet meer bestaat. Een Nederlands team met experts heeft bevestigd dat in deze versies het probleem inderdaad is opgelost. Dit wordt bevestigd door de onderzoeker die het privacylek als eerste ontdekte. De betreffende update wordt in delen doorgevoerd en is volgens Google na dit weekend wereldwijd uitgerold. Dit gebeurt automatisch.

"Gezien deze ontwikkelingen heb ik besloten de codes van mensen die met hulp van de GGD in CoronaMelder aangeven besmet te zijn om zo anderen te waarschuwen, vanaf zaterdag 1 mei 17:00 weer te publiceren", laat De Jonge weten, die toevoegt dat ook de besmetmeldingen van de afgelopen dagen dan gepubliceerd zullen worden. Hierdoor zullen mensen alsnog een notificatie ontvangen als ze in contact zijn geweest met mensen die de afgelopen dagen in CoronaMelder hebben aangegeven besmet te zijn.

De minister voegt toe dat er wordt onderzocht of het doorgeven van besmettingen in een volgende versie van CoronaMelder met hulp van de GGD alleen werkt op toestellen waar het probleem niet meer bestaat. Google is vanwege het privacylek aangeklaagd in de Verenigde Staten.