De broncode van de veelbesproken CoronaMelder-app bevat vier tegenstrijdigheden. Dat blijkt uit een rapport van onderzoeksbureau Secura dat in opdracht van het ministerie van VWS de code onderzocht. Ze stellen vast dat er een verouderde versie van een softwarebibliotheek is gebruikt. Ook krijgen eigenaren van een gekraakt toestel geen melding dat ze een verhoogd beveiligingsrisico lopen.
Zo maakt de iOS-applicatie van CoronaMelder gebruik van een verouderde versie van een softwarebibliotheek voor de transportbeveiliging en implementatie van andere cryptografische functies.
Ten tweede worden sommige cryptografische handtekeningen, die worden gebruikt om de sleutels te valideren die blootstellingsmeldingen ontgrendelen (zogenaamde tijdelijke blootstellingssleutels of TEK's), slechts gedeeltelijk gecontroleerd. Hierdoor zouden in theorie alle houders van een recent door KPN afgegeven PKI Overheid-certificaat geldige handtekeningen kunnen overleggen. Dat schendt volgens de onderzoekers gedeeltelijk de integriteitsvereisten die in de architectuur zijn vastgelegd.
Ten derde voert de app geen controle uit om te zien of deze op een ge-root of gejailbreakt apparaat draait. In zo'n geval is het toestel gekraakt om bijvoorbeeld ongeautoriseerde programma’s te installeren of beperkingen van de fabrikant te omzeilen. De onderzoekers wijzen erop dat het uitvoeren van een app op een ge-root (Android) of gejailbreakt (iOS) apparaat beveiligings- en privacyrisico's met zich meebrengt. 'Dit kan de integriteit van alle apps en communicatie schaden.’
Ten vierde noemen de onderzoekers zogenoemde ‘afleidingsberichten’ die verzonden worden om het voor aanvallers moeilijker te maken om zinvolle informatie uit berichten te halen. ‘Als de app is uitgeschakeld, worden er nog steeds ‘lokmeldingen’ verzonden. Dit is niet volledig in overeenstemming met de functionele vereisten en kan onder specifieke omstandigheden een aanvaller helpen om gebruikers van de app te identificeren, zelfs als de app is uitgeschakeld.’
Het rapport wordt door het Eindhovense onderzoeksbureau Secura als vertrouwelijk aangeduid. Dat is opmerkelijk omdat het als openbaar te downloaden bijlage is toegevoegd aan de Kamerbrief. In die brief informeert minister De Jonge de Tweede Kamer over de voortgang van de ontwikkeling van de CoronaMelder.
Alles bij de bron; Computable