image

Niet-bestaand e-mailadres gebruikt voor bugmeldingen in CoronaCheck-app

maandag 14 februari 2022, 14:31 door Redactie, 13 reacties

Twee Nederlandse beveiligingsonderzoekers die vorig jaar kwetsbaarheden in de CoronaCheck-app ontdekten en dit wilden melden kregen hun bugmelding terug omdat het door de overheid gebruikte e-mailadres niet bestond. Dat schrijven onderzoekers Daan Keuper en Thijs Alkemade van it-bedrijf Computest in een analyse van de kwetsbaarheden in de app.

De CoronaCheck-app bleek verschillende fouten te maken bij de controle van tls-certificaten. Door middel van een kwaadaardig certificaat zou het zo mogelijk zijn om verkeer tussen de app en het ministerie van Volksgezondheid of een coronatestaanbieder te onderscheppen. De CoronaCheck-app heeft op de website een pagina genaamd "Kwetsbaarheid melden", waar wordt uitgelegd hoe onderzoekers beveiligingslekken in de app kunnen melden.

Alkemade en Keuper stuurden hun bevinden naar het genoemde e-mailadres, maar kregen hun e-mail terug omdat het genoemde adres niet bestond. Uiteindelijk wisten ze via andere kanalen hun bugmeldingen door te zetten. De kwetsbaarheden werden vervolgens stilletjes en zonder terugkoppeling verholpen, zo laten de onderzoekers verder weten.

Die besloten afgelopen oktober naar de code van de app te kijken of alle problemen waren verholpen en ontdekten dat één beveiligingslek nog niet goed was opgelost. Wederom stuurden de onderzoekers een e-mail naar de ontwikkelaars, die het probleem opnieuw zonder terugkoppeling verhielpen. "Ontwikkelaars zijn natuurlijk niet verplicht om ons op de hoogte te houden als we een kwetsbaarheid melden, maar dit laat wel zien dat als ze het wel hadden gedaan, we de incorrecte oplossing veel eerder hadden kunnen vinden", zo stellen Keuper en Alkemade.

Reacties (13)
14-02-2022, 15:09 door Anoniem
Verbaast het nog iemand?
14-02-2022, 15:55 door Anoniem
Door Anoniem: Verbaast het nog iemand?

Nou moe. Wat zijn we weer lekker negatief!

Zolang alle business processen, de SAFe 5.0 certification, de lean werkwijze en de enterprise soltuions maar goed geborgd zijn in de organisatie en ook alle trainingen ingepland zijn, dan komt alles vanzelf goed en dan staat niets een succesvolle implementatie in de weg.
14-02-2022, 16:10 door Anoniem
Je denkt dat het niet gekker kan... En jawel hoor, daar komt de volgende blunder al weer boven drijven....
14-02-2022, 16:14 door Anoniem
Door Anoniem: Verbaast het nog iemand?

Nee, zo kunnen ze beter pedofielen en terroristen opsporen.
14-02-2022, 16:24 door Anoniem
Ziehier de arrogantie van ontwikkelaars in dienst van de overheid.
Dezelfde overheid die oproept om cyberaanvallen dreigingen gezamenlijk te lijf te gaan…
14-02-2022, 17:24 door Anoniem
Welke aanvaller zou er zoveel tijd in stoppen om deze niet intressante data, (want het gaat niet over geld) te onderscheppen..

Impact:laag, Risico:laag.
14-02-2022, 17:56 door Anoniem
Door Anoniem:
Door Anoniem: Verbaast het nog iemand?

Nou moe. Wat zijn we weer lekker negatief!

Zolang alle business processen, de SAFe 5.0 certification, de lean werkwijze en de enterprise soltuions maar goed geborgd zijn in de organisatie en ook alle trainingen ingepland zijn, dan komt alles vanzelf goed en dan staat niets een succesvolle implementatie in de weg.

In welke denkbeeldige wereld leef jij?? ;-)
14-02-2022, 18:23 door Anoniem
Een kwaadaardig certificaat? Bedoelen zij de userstore?
Userstores worden dus per definitie als kwaadaardig beachouwd?

Wat een cultuur hebben we ontwikkeld zeg...
14-02-2022, 18:24 door Anoniem
Dit is geen lek. Een gebruiker moet kunnen bepalen welke certificaten hij/zij vertrouwd.
Juist als de ontwikkelaar die keuze kaapt is het malicieus.
14-02-2022, 18:33 door Anoniem
Alsof de organisaties waarbij jullie werken een no-reply@eenofanderdomein.nl wel allemaal goed naar een mailbox dumpen. Boter op jullie hoofd!
15-02-2022, 00:25 door Anoniem
Niet klagen; je moet de speciale bugscheck app gebruiken .... :-(
15-02-2022, 10:19 door S.A.T.A.N. - Bijgewerkt: 15-02-2022, 10:19
Door Anoniem: Niet klagen; je moet de speciale bugscheck app gebruiken .... :-(

Heb je wel eens een issue proberen in te dienen op GitHub? Dan moet je een account aanmaken en komen je gegevens bij Microsoft terecht!
15-02-2022, 17:06 door Anoniem
Maar wat houdt de bug betreffende het TLS-certificaat in?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.