Valse coronacheck-apps sluizen QR-codes van gebruikers door
Twee valse coronacheck-apps die in omloop zijn, sluizen de QR-codes van hun gebruikers door naar een onbekende bestemming. Dat blijkt uit onderzoek van de NOS.
De apps zijn bedoeld om met andermans QR-code ergens naar binnen te kunnen, of juist als ondernemer een controle op QR-codes te veinzen zonder dat er daadwerkelijk wordt gecontroleerd.
Uit een analyse van de broncode van de app blijkt dat de QR-codes die gebruikers scannen, worden doorgestuurd naar een externe server. Wie tot de QR-codes toegang heeft en wat er vervolgens met de codes gebeurt, is onbekend.
De makers van de app waren donderdag niet bereikbaar voor commentaar. Een poging om een reactie te krijgen, resulteerde in een verbanning uit het Telegram-kanaal waar de app wordt verspreid. In een reactie op het nieuwsbericht noemt een beheerder van het kanaal de bevindingen "fake news". "Pure framing en trap er niet in!"
"Het is strafbaar om te frauderen met coronatoegangsbewijzen", laat een woordvoerder van het ministerie van Volksgezondheid weten. "We hebben eerder aangifte gedaan en onderzoeken of we dat opnieuw moeten doen."
Kopiëren
Een van de nagemaakte CoronaCheck-apps laat mensen die geen legitieme QR-code willen gebruiken, andermans code kopiëren. Vervolgens kunnen ze die laten zien in iets wat net lijkt op de 'echte' CoronaCheck-app.
Om die code in te laden in de app, moet iemand de QR-code gebruiken van iemand die hersteld is, gevaccineerd of negatief getest. Bij het scannen van die code wordt echter op de achtergrond een kopietje verstuurd, blijkt nu.
De andere app laat ondernemers "die niet willen discrimineren" ogenschijnlijk controles op de CoronaCheck-app uitvoeren, terwijl in de praktijk alle QR-codes een groen vinkje opleveren. Daarbij gaat het ook om QR-codes die zijn verlopen of zelfs helemaal geen coronatoegangsbewijs zijn.
Maar ook de codes die daarmee worden gescand, worden - zonder dat dat wordt verteld - doorgestuurd naar een externe server. Of er overigens ondernemers zijn die de valse scanner-app daadwerkelijk gebruiken, is onbekend. Het gebruik ervan is verboden.
Niet nodig
Voor de werking van de app is het versturen van de QR-codes niet nodig: ze worden namelijk lokaal opgeslagen, op de telefoon van de gebruiker. Of en hoe er misbruik van de codes wordt gemaakt, is onduidelijk; de makers van de app reageerden niet op vragen daarover. Ook is niet bekend hoeveel QR-codes er zijn doorgestuurd.
Eerder hintten de makers op een nieuwe functie in de app, waarmee elke gebruiker "een QR-code op naam kan zetten". Daarbij doelen ze waarschijnlijk op een functie waarbij gebruikers een QR-code passend bij hun initialen kunnen inladen. Of die optie te maken heeft met de dataverzameling, is onbekend.
In de Nederlandse QR-codes worden alleen initialen en in een deel van de gevallen geboortedatum of geboortemaand verwerkt. De bedoeling is dat er aan de deur ook op identiteitskaart wordt gecontroleerd, maar dat gebeurt niet altijd.
Gedeelde QR-codes worden overigens vaak snel geblokkeerd door de makers van de CoronaCheck-app. Op dit moment staan er 1258 QR-codes op de zwarte lijst, waarvan 997 Nederlandse en 261 afkomstig van buiten Nederland.
Zelfs als er in één keer honderden, duizenden of zelfs tienduizenden QR-codes zouden worden gedeeld, is er technisch geen belemmering om die te blokkeren, melden bronnen rond de CoronaCheck-app.