KPMG: Corona-apps schieten nog tekort in veiligheid

20 april 2020 Consultancy.nl

De zeven corona-apps die momenteel in de race zijn om als voorkeursapp door de overheid gebruikt te gaan worden, gooien vooralsnog geen hoge ogen als het gaat om aspecten als technische veiligheid en betrouwbaarheid. Dat stellen experts van KPMG in een evaluatie in opdracht van het ministerie van VWS.

In een rapportage aan Ron Roozendaal, CIO van het ministerie van Volksgezondheid, Welzijn en Sport (VWS), laten KPMG-partners John Hermans, Joost Koedijk en Ronald Heil weten dat er sprake is van (ernstige) kwetsbaarheden. In hun brief delen ze de volgende tekortkomingen:

Coding

De ontwikkelaars van de applicaties hebben over het algemeen geen ‘secure coding’-principes toegepast waardoor algemeen bekende en dus te verwachten beveiligingsmaatregelen niet zijn geïmplementeerd. Dit is ook van toepassing voor de achterliggende infrastructuur (misconfiguraties, verouderde software, beheerinterfaces exposed, etc.). Hierdoor ontstaan (ernstige) kwetsbaarheden die eenvoudig voorkomen hadden kunnen worden.

KPMG - Securitytest potentiële Corona-appsDe apps maken gebruik maken van ‘hardcoded’ wachtwoorden die dus leesbaar zijn opgenomen in de leesbare broncode. Het is gebleken dat met deze wachtwoorden toegang kon worden verkregen tot databases en/of de achterliggende infrastructuur (inclusief datasets buiten het domein van de te testen COVID-applicatie).

Veiligheid

De achterliggende infrastructuur (inclusief de API) kan veelal misbruikt worden zonder benodigde identificatie/authenticatie. Daar waar wel een beveiliging is toegepast is deze vaak eenvoudig te omzeilen door kwetsbare implementatie, of het niet of niet goed valideren van bijvoorbeeld beveiligingscertificaten, of het gebruik van self-signed certificates. Hierdoor kan veelvuldig toegang worden verkregen tot vertrouwelijke data en/of kan foutieve data worden opgevoerd. 

Bij het ontwerp van de applicaties is niet altijd uitgegaan van het principe om zo min mogelijk gevoelige gegevens op de telefoon van de eindgebruiker op te slaan. Data die wordt opgeslagen wordt ook nog eens zonder versleuteling opgeslagen. 

Door de gewenste functionaliteit (track/trace) zijn er bij de Android-telefoons relatief veel toegangspermissies nodig, daar zitten ook enkele op het eerste gezicht vreemde verzoeken bij zoals toegang tot de microfoon of foto's. De gewenste permissies zijn mogelijk te verklaren vanuit de gewenste functionaliteit maar de eindgebruiker zal dit naar waarschijnlijkheid ook wantrouwen en niet accepteren. 

Broncode

De aangeleverde software kent een behoorlijke diversiteit in de mate waarin ze ‘gereed voor gebruik’ zijn: geen van de systemen is echter ‘af’. Dit verhindert ook een goede vergelijkende beoordeling van de bevindingen; waar bijvoorbeeld in één applicatiecomponent een matig hashing algoritme wordt gebruikt ontbreekt deze functionaliteit bij andere oplossingen in het geheel. 

Technische documentatie over de componenten is grotendeels afwezig gebleken. De broncode-onderzoekers hebben veel tijd besteed aan het uitzoeken hoe de componenten in elkaar zaten, (zo nodig) gecompileerd moesten worden en werkten. 

Algemene maatregelen om codekwaliteit te bevorderen zijn beperkt aangetroffen. KPMG zag afwijkingen van codingstandaarden en ‘magic literals’ (een anti-patroon waarbij nummers en tekenreeksen direct in de code gebruikt worden). Verder zijn er ook weinig unit-testen en maar beperkt inline documentatie aangetroffen in de broncode . 

Conclusie

De onderzoekers van KPMG concluderen dat op dit moment geen enkele app ‘af’ is, laat staan dat er een app gereed is om onder de bevolking ingezet te worden. Dit nieuws volgt kort op de aankondiging van de Autoriteit Persoonsgegevens, die stelt dat de huidige uitwerking van de app-voorstellen onvoldoende is om een inhoudelijk oordeel te geven. 

Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, zei in een verklaring dat de voorwaarden van de overheid voor de corona-apps “niet duidelijk genoeg” waren. “Het is nog maar de vraag of die app er wel kan komen. Natuurlijk zal de Autoriteit Persoonsgegevens eventuele voorstellen voor apps opnieuw beoordelen, mocht de overheid dat vragen. Maar alleen als de effectiviteit, de kaders, de plannen en de apps beter uitgewerkt zijn.”

Morgen beslist het kabinet over hoe het nu verder moet met de plannen voor corona-apps.


×
×
Accenture ACE Company Adaptif Adlasz Adviesgroep Novius AevesBenefit Anderson MacGyver Andersson Elffers Felix Annalise Arlande Arthur D. Little AT Osborne Atos Consulting Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bewegin Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management BOLD Bolster Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Cegeka Consulting Cmotions COMATCH Conclusion Count & Cooper CPMview De Issuemakers De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting Flowant flowresulting FTE Groep FTE Improvery Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hogenhouck m&a Hospitality Group Hot ITem House of Performance IG&H Improven InContext innergo INNOPAY Intermedius ITDS Business Consultants Itility JBR JBR Interim Executives Kearney Kirkman Company Korn Ferry KplusV KPMG Kruger Kurtosis KWINK groep Leeuwendaal M3 Consultancy Magnus Marktlink Mazars McKinsey & Company Mercer Merkle METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group NEWCRAFT Node1 Oliver Wyman OrangeX Ordina Organize Agile p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ People Change PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quint Wellington Redwood Quintop Raad van Toekomst ResidentieProfs RGP Rijnconsult Riverwise Roland Berger Salvéos Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Groep Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Staffing MS Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron The Next Organization Trevian Turner TWST TwynstraGudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Volt Strategy Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Xebia Yellowtail YGroup YNNO Young Advisory Group YourConnector Zanders Zestgroup