KPMG heeft in opdracht van het ministerie van VWS onderzocht hoe het staat met de beveiliging van zes apps die mogelijk ingezet gaan worden bij het in kaart brengen van de verspreiding van het coronavirus. De conclusie: geen van de apps heeft de beveiliging op orde.
Het kabinet wil onderzoeken of met apps kan worden bijgehouden wie er besmet is, wat de bron is geweest en met wie de patiënt allemaal contact heeft geweest. Daarvoor moet worden bijgehouden waar iemand is geweest en dat leidde tot zorgen over de privacygevoeligheid van zulke apps. De apps zijn daarom afgelopen weekend getest tijdens een zogeheten ‘appathon’. KPMG heeft een uitgebreide lijst opgesteld met beperkingen van het onderzoek naar de beveiliging van de apps, onder meer door de korte tijdspanne waarin het onderzoek moest worden gedaan. Er waren zeven apps voor de test aangemeld, maar van de zevende leverancier is niet de benodigde informatie ontvangen.
Ernstige kwetsbaarheden
Problemen zijn onder meer dat de ontwikkelaars over het algemeen geen ‘secure coding’-principes toepassen, ‘waardoor algemeen bekende en dus te verwachten beveiligingsmaatregelen niet zijn geïmplementeerd’. ‘Dit is ook van toepassing voor de achterliggende infrastructuur (misconfiguraties, verouderde software, beheerinterfaces exposed, etc.). Hierdoor ontstaan (ernstige) kwetsbaarheden die eenvoudig voorkomen hadden kunnen worden.’ Wachtwoorden zijn leesbaar opgenomen in de leesbare broncode. ‘Het is gebleken dat met deze wachtwoorden toegang kon worden verkregen tot databases en/of de achterliggende infrastructuur (inclusief datasets buiten het domein van de te testen COVID-applicatie).’
Beveiliging eenvoudig te omzeilen
Die achterliggende infrastructuur kan bij veel apps al misbruikt worden zonder benodigde identificatie of authenticatie, zag KPMG. ‘Daar waar wel een beveiliging is toegepast is deze vaak eenvoudig te omzeilen door kwetsbare implementatie, of het niet of niet goed valideren van bijvoorbeeld beveiligingscertificaten, of het gebruik van self-signedcertificates. Hierdoor kan veelvuldig toegang worden verkregen tot vertrouwelijke data en/of kan foutieve data worden opgevoerd.’ Bovendien wordt data zonder versleuteling opgeslagen.
Geef een reactie