Er is een kwetsbaarheid ontdekt in de manier waarop Googles systeem voor contactonderzoek met de gevoelige informatie van gebruikers omging. Voorgeïnstalleerde apps op Android-telefoons hadden de voorbije maanden toegang tot de gegevens van apps voor contactonderzoek.
Lees verder na de advertentie.
Apps voor contactonderzoek
Apple en Google maakten vorig jaar een ongeziene samenwerking bekend, want samen ontwikkelden ze een systeem waarmee iPhones en Android-telefoons kunnen meehelpen aan het contactonderzoek in de strijd tegen het coronavirus. Apps zoals de Nederlandse CoronaMelder maken van de technologie op basis van bluetooth gebruik om gebruikers te waarschuwen voor risicovolle contacten.
Google gaf daarbij de garantie dat het traceren van contacten volledig veilig en anoniem gebeurt en dat was ook de conclusie van de Autoriteit persoonsgegevens die Coronamelder grondig heeft doorgelicht. Inmiddels is CoronaMelder meer dan een miljoen keer gedownload, maar nu blijkt uit een bericht van The Markup dat de app minder veilig zijn dan gedacht.
De CoronaMelder-app
Informatie open en bloot
Er is voor alle duidelijkheid geen kwetsbaarheid gevonden specifiek in CoronaMelder, maar wel in de achterliggende technologie van Google. Android-telefoons bewaren gegevens die de apps voor contactonderzoek verzamelen in systeemlogs, maar de beveiligingsonderzoekers van AppCensus hebben ontdekt dat voorgeïnstalleerde apps toegang hebben tot die gegevens. Denk aan de eigen galerij-app van de fabrikant van je telefoon of de
Het gaat om informatie waaruit blijkt of je in contact bent geweest met iemand die positief is getest, en verder is er nog andere gevoelige informatie over gebruikers, waaronder de naam van je telefoon en het MAC-adres. “Google zegt dat deze logs nooit het apparaat verlaten”, aldus Joel Reardon, de medeoprichter van AppCensus. “Maar ze kunnen dat niet met zekerheid zeggen. Ze weten niet of deze apps systeemlogs verzamelen.”
De Belgische Coronalert-app
Fout verholpen
Toen Google op de hoogte werd gebracht van de kwetsbaarheid, stelde het bedrijf dat de fout niet ernstig was en dat de onderzoekers daarmee ook geen recht hadden op een beloning voor het ontdekken. Pas nadat The Markup contact opname met de Androidmaker, kreeg de website te horen dat Google het probleem meteen na het melden met een update heeft verholpen.
“Deze Bluetooth-identificeerders maken niets bekend over de locatie van een gebruiker en ze voorzien geen andere informatie waarmee je te identificeren bent. We hebben ook geen indicatie dat ze op zo’n manier zijn gebruikt of dat apps hiervan op de hoogte waren”, dat stelt José Castañeda, een woordvoerder van Google.
Wat denk jij van de bevindingen van de beveiligingsonderzoekers? Maak jij je nu zorgen over de manier waarop apps voor contactonderzoek met je gegevens omgaan? Laat het ons weten in de reacties onderaan dit artikel.
App niet meer beschikbaar
nl.rijksoverheid.en
Reacties
Inloggen of registreren
om een reactie achter te laten