'Lekke' app NL-Alert maakte ook volgen van gebruikers mogelijk
De officiële NL-Alert-app, waarvoor het ministerie van Justitie en Veiligheid gisteren al waarschuwde vanwege een privacyprobleem, bevatte recent nog een ander beveiligingslek. Daarmee kon de locatie van andere gebruikers worden opgevraagd.
De app verwerkt die locatie om gebruikers waarschuwingsmeldingen te versturen die zijn gebaseerd op de plek waar ze zijn. Die locatie-informatie werd echter niet afgeschermd verstuurd. Daardoor zou bijvoorbeeld een boze ex of jaloerse partner tot op de minuut kunnen achterhalen waar iemand uithangt.
Het beveiligingsprobleem is eind april verholpen, meldt een bron die anoniem wil blijven aan de NOS. Het ministerie bevestigt het beveiligingsprobleem, maar benadrukt wel dat er geen aanwijzingen zijn dat iemand het lek daadwerkelijk heeft misbruikt.
De NL Alert-app staat los van de dienst NL-Alert, en biedt aanvullende functionaliteit. Sinds de app begin maart werd gelanceerd, is hij 58.000 keer geïnstalleerd.
Privégegevens
Donderdag kwam al aan het licht dat de app per abuis privégegevens doorstuurde naar de verwerker van de pushnotificaties. Het ministerie schreef aan de Tweede Kamer dat het advies is om de app te deïnstalleren.
Het nieuwe beveiligingsprobleem staat daar los van, en werd niet genoemd in een brief aan de Tweede Kamer. "Dit nieuwe lek had natuurlijk ook in de Kamerbrief moeten staan", zegt D66-Kamerlid Kees Verhoeven. "Dit niet melden suggereert toch dat je niet wil dat het bij het grote publiek bekend wordt."
Achterhalen
Voor het achterhalen van iemands locatie moest eerst een uniek nummer worden achterhaald. Wie dat unieke nummer kende, kon vervolgens ongemerkt iemands huidige locatie achterhalen, op ongeveer tien meter nauwkeurig.
Het nummer wordt onder meer vermeld in de app zelf: wie naar het 'privacy'-deel van de app gaat, ziet het nummer. Een digitale aanvaller in de nabijheid van zijn slachtoffer zou door de telefoon van de gebruiker een minuutje te lenen, het nummer kunnen fotograferen en vervolgens de locatie volgen zolang de app geïnstalleerd bleef.
Met simpel programmeerwerk zou die aanvaller de locatie vervolgens geautomatiseerd kunnen binnenhalen en zo iemands bewegingen in kaart brengen. Na melding is het lek deze of vorige week gedicht, meldt de bron van de NOS, waardoor het beveiligingsprobleem niet meer kan worden misbruikt.
De manier waarop de gegevens worden verstuurd duidt op matig programmeerwerk.
Volgens het ministerie was wel de nodige technische expertise vereist om het beveiligingslek te kunnen misbruiken, maar de NOS-bron weerspreekt dat. "Door simpelweg de app op te starten en het verkeer van de app te onderzoeken, zag ik hoe mijn locatie werd verzonden", zegt hij.
Dat gebeurde op een bijzondere manier: de locatiegegevens van de gebruiker werden twee keer verstuurd. Een van die twee keer gebeurde dat onveilig: alleen de kennis van het unieke nummer was genoeg om de actuele locatie op te vragen. "Ik zie niet in waarom die data twee keer moeten worden verstuurd, dus dat duidt wel op matig programmeerwerk."
Corona-app
Het nieuws over de NL-Alert-app komt voor de overheid op een ongelukkig moment: er wordt gewerkt aan een app die moet helpen om corona-besmettingen op te sporen. "Dit raakt aan die discussie", zegt Kamerlid Verhoeven van coalitiepartij D66. Ook bij de corona-app gaat het immers om in potentie privacygevoelige gegevens die worden verwerkt.
Twee weken geleden kwam aan het licht dat zeven apps die in de running waren als 'corona-app' slecht in elkaar zaten. De apps waren nog in de ontwikkelfase, maar waren niet goed beveiligd en slecht geprogrammeerd.