Deskundigen zeer kritisch over zeven corona-apps: 'Terug naar de tekentafel'
Ontwikkelaars, computerbeveiligers en privacy-experts zijn niet onder de indruk van de zeven overgebleven corona-apps die kans maken om door de overheid tot officiële corona-app te worden verheven. Dat blijkt uit een rondgang van de NOS, tegen het einde van de presentatie van de zeven apps via een livestream.
De apps zijn bedoeld voor contactonderzoek, waarbij in kaart kan worden gebracht bij wie coronapatiënten in de buurt zijn geweest. Op die manier kunnen mogelijke nieuwe besmettingen worden opgespoord.
Eerst was sowieso weinig bekend over de werking van de apps. Inmiddels hebben vijf apps hun programmeercode openbaar gemaakt. Het oordeel van experts is zeer kritisch.
Ontwerpfouten
"Geen van die vijf apps voldoet aan de kwaliteitseisen van het ministerie", zegt Benjamin Broersma van de Open State Foundation. "Alle apps hebben ontwerpfouten." Broersma, zelf programmeur, ontdekte in de broncode van de apps en de werkwijze van de ontwikkelaars talloze beginnersfouten. In een van de apps zat zelfs een datalek.
In een aantal gevallen, waaronder bij de apps van Capgemini, SIA en Deus, gaat het bovendien vooral om bestaande software die in een nieuw jasje is gestopt. Het bedrijf SIA heeft de code van de app uit Singapore gekopieerd en er zijn eigen naam op geplakt.
Op zich is het niet erg dat bestaande software wordt gebruikt, zegt programmeur Arian van Putten. "Maar het is allemaal echt nog in een beginstadium." Dat terwijl de eis van het ministerie was dat de apps al in een vergevorderd stadium zijn. "De ontwikkelaars moeten echt terug naar de tekentafel en nog heel lang tekenen." Dat was overigens onvermijdelijk, denkt Van Putten, gezien de haast van het ministerie.
Twee organisaties hebben helemaal geen programmeercode vrijgegeven, waaronder consultancybedrijf Accenture. Dat wilde tegenover de NOS niets kwijt over de werking van de app.
Onderzoekers van KPMG vonden in zes van de zeven apps veel beveiligingsproblemen: de ontwikkelaars programmeerden niet veilig en namen nauwelijks beveiligingsmaatregelen.
Chaotische procedure
De zeven apps bleven over na een chaotische selectieprocedure, waarbij veel apps om onduidelijke redenen afvielen. Opvallend is dat ook een gelegenheidscoalitie van gerenommeerde beveiligings- en techbedrijven werd afgekeurd.
Beveiligingsbedrijven Fox-IT, Hackdefense en Computest werkten daarvoor samen met onder meer Intermax, gespecialiseerd in medische hosting, en ict-infrastructuurbedrijf PowerDNS.
"Er is veel aandacht voor de smartphone-apps, maar je moet ook nadenken over hoe je al de informatie uit die apps verwerkt", zegt Bert Hubert van PowerDNS. Het gaat om miljoenen gebruikers die contact moeten houden met een server van bijvoorbeeld de GGD.
Vanuit die server worden de seintjes verstuurd als iemand het coronavirus blijkt te hebben. "Het is van groot belang dat dat veilig gebeurt", zegt Frank Groenewegen van Fox-IT. "Je wil niet dat het niet goed beveiligd blijkt en dat iemand ten onrechte op een knop drukt en onterecht ziekmeldingen gaat versturen."
Samen met de andere bedrijven diende Hubert daarvoor een uitgewerkt plan in, dat de NOS heeft ingezien. Daarbij benadrukken de bedrijven dat ze niet meedoen om er rijker van te worden. Een reactie kwam er nooit.
De makers van een andere app, PrivateTracer, vonden de spoed van het ministerie niet realistisch en haakten zelf af.
Als dit niet om software ging maar om een dijk, dan was het een stuk beter gegaan.
Rob van Eijk van denktank Future of Privacy Forum tekent aan dat de overheid nog helemaal niet heeft bedacht wat de app precies moet doen, en wat niet. Zo verzamelen sommige apps de telefoonnummers van de gebruiker, terwijl dat voor het contactonderzoek niet vereist lijkt. "Dat zorgt voor een risico op function creep, waarbij een app die voor contactonderzoek is bedoeld, opeens voor heel andere dingen wordt gebruikt."
Hubert denkt dat een gebrek aan expertise bij de overheid het probleem is. "Als dit niet om software ging maar om een dijk, dan was het een stuk beter gegaan", zegt hij. "Dat snapt de overheid, daar heeft ze ervaring mee."