Zorgen over veiligheid Coronavirus Contact Tracing-apps

Bunnik, 12 juni 2020 – Security-onderzoekers van Check Point uiten hun bezorgdheid over het inzetten van apps voor contact tracing. Ze verwijzen naar risico’s van het traceren van apparaten, het compromitteren van persoonsgegevens, het onderscheppen van app-verkeer, en valse gezondheidsrapporten.

• GPS kan gevoelige informatie prijsgeven, en zo de reisroutes en locaties van de gebruiker van de afgelopen dagen of weken onthullen.
• Bluetooth Low Energy (BLE) kan worden gebruikt om een toestel te traceren. Om de anonimiteit van de gebruiker te garanderen, mogen op geen enkel moment persoonlijke identificatiegegevens (telefoonnummer, naam, ID’s, etc.) aan de app gekoppeld zijn.

Security-onderzoekers van Check Point zijn de applicaties voor contact tracing nauwkeurig aan het bestuderen. Na de eerste review hebben zij een aantal problemen gesignaleerd met betrekking tot het gebruik van contact tracing apps. De onderzoekers hebben hun bezorgdheid in vier punten samengevat:

1. Toestellen zijn traceerbaar. Aangezien sommige contact tracing-applicaties afhankelijk zijn van Bluetooth Low Energy (BLE), zenden apparaten handshake-pakketten uit die de identificatie van contact met andere toestellen vereenvoudigen. Indien niet correct geïmplementeerd, kunnen hackers het apparaat van een persoon traceren door toestellen en hun respectievelijke identificatiepakketten te correleren.
2. Persoonsgegevens kunnen gecompromitteerd worden. Applicaties bewaren contactlogs, encryptiesleutels en andere gevoelige data van nature op apparaten. Gevoelige gegevens moeten worden versleuteld en opgeslagen in de sandbox van de applicatie en niet op gedeelde locaties. Zelfs binnen die sandbox kan het verkrijgen van root-privileges of fysieke toegang tot het apparaat de data in gevaar brengen. En meer nog wanneer gevoelige informatie zoals GPS-locatie wordt bewaard.
3. Het verkeer van een app kan worden onderschept. Tenzij alle communicatie met de backend server van de applicatie goed versleuteld is, zijn gebruikers vatbaar voor ‘man-in-the-middle’-aanvallen en onderschepping van het verkeer van de applicatie.
4. Systeem kan overspoeld worden met valse gezondheidsrapporten. Volgens de onderzoekers is het belangrijk dat contactapplicaties authenticatie uitvoeren wanneer informatie bij de servers wordt ingediend, bijvoorbeeld wanneer een gebruiker zijn diagnose en contactlogs post. Zonder de juiste autorisatie is het mogelijk om de servers met valse gezondheidsrapporten te overspoelen. Dat zou de betrouwbaarheid van het volledige systeem in het gedrang brengen.

Check Point blijft onderzoek doen naar contact tracing apps en hun frameworks.

Hoe blijf je beschermd:

• Download enkel apps van officiële winkels. Installeer contact tracing-applicaties voor COVID-19 die van officiële winkels afkomstig zijn, aangezien daar enkel geautoriseerde overheidsinstanties toestemming hebben om dergelijke apps te plaatsen.
• Gebruik mobiele beveiligingsoplossingen. Download en installeer een mobiele beveiligingsoplossing om applicaties te scannen en het apparaat tegen malware te beschermen, alsook om te verifiëren dat het toestel niet gecompromitteerd is.

Jonathan Shimonovich, Manager of Mobile Research, Check Point: “We zijn er nog steeds niet uit hoe veilig apps voor contact tracing zijn. Na een eerste onderzoek hebben we wel een paar ernstige bezwaren. Contact tracing-apps moeten een delicaat evenwicht tussen privacy en veiligheid behouden, aangezien zwakke implementatie van beveiligingsnormen de gegevens van de gebruiker in gevaar kan brengen. Dit komt neer op vragen zoals welke gegevens worden verzameld, hoe ze worden bewaard en hoe ze uiteindelijk worden verspreid.”

Meer achtergronden over het onderzoek zijn te vinden in deze blogpost: https://blog.checkpoint.com/2020/06/11/coronavirus-contact-tracing-apps-managing-the-pandemic-spread-or-ending-privacy-for-individuals/

Over Check Point
Check Point Software Technologies Ltd. levert cybersecurity-oplossingen aan overheden en enterprises wereldwijd. Het beschermt klanten tegen 5e generatie cyberaanvallen met een ongeëvenaarde vangstratio van malware, ransomware en andere soorten aanvallen. Check Point biedt een multi-level security-architectuur, ‘Infinity’ Total Protection met Gen V geavanceerde threat prevention, die de informatie beschermt binnen de cloud, netwerken en mobiele apparaten van enterprises. Check Point biedt het meest uitgebreide en intuïtieve ‘one point of control’ security-beheersysteem. Check Point beschermt meer dan 100.000 organisaties van elke omvang.