KPMG: Corona-apps schieten nog tekort in veiligheid

20 april 2020 Consultancy.nl

De zeven corona-apps die momenteel in de race zijn om als voorkeursapp door de overheid gebruikt te gaan worden, gooien vooralsnog geen hoge ogen als het gaat om aspecten als technische veiligheid en betrouwbaarheid. Dat stellen experts van KPMG in een evaluatie in opdracht van het ministerie van VWS.

In een rapportage aan Ron Roozendaal, CIO van het ministerie van Volksgezondheid, Welzijn en Sport (VWS), laten KPMG-partners John Hermans, Joost Koedijk en Ronald Heil weten dat er sprake is van (ernstige) kwetsbaarheden. In hun brief delen ze de volgende tekortkomingen:

Coding

De ontwikkelaars van de applicaties hebben over het algemeen geen ‘secure coding’-principes toegepast waardoor algemeen bekende en dus te verwachten beveiligingsmaatregelen niet zijn geïmplementeerd. Dit is ook van toepassing voor de achterliggende infrastructuur (misconfiguraties, verouderde software, beheerinterfaces exposed, etc.). Hierdoor ontstaan (ernstige) kwetsbaarheden die eenvoudig voorkomen hadden kunnen worden.

KPMG - Securitytest potentiële Corona-appsDe apps maken gebruik maken van ‘hardcoded’ wachtwoorden die dus leesbaar zijn opgenomen in de leesbare broncode. Het is gebleken dat met deze wachtwoorden toegang kon worden verkregen tot databases en/of de achterliggende infrastructuur (inclusief datasets buiten het domein van de te testen COVID-applicatie).

Veiligheid

De achterliggende infrastructuur (inclusief de API) kan veelal misbruikt worden zonder benodigde identificatie/authenticatie. Daar waar wel een beveiliging is toegepast is deze vaak eenvoudig te omzeilen door kwetsbare implementatie, of het niet of niet goed valideren van bijvoorbeeld beveiligingscertificaten, of het gebruik van self-signed certificates. Hierdoor kan veelvuldig toegang worden verkregen tot vertrouwelijke data en/of kan foutieve data worden opgevoerd. 

Bij het ontwerp van de applicaties is niet altijd uitgegaan van het principe om zo min mogelijk gevoelige gegevens op de telefoon van de eindgebruiker op te slaan. Data die wordt opgeslagen wordt ook nog eens zonder versleuteling opgeslagen. 

Door de gewenste functionaliteit (track/trace) zijn er bij de Android-telefoons relatief veel toegangspermissies nodig, daar zitten ook enkele op het eerste gezicht vreemde verzoeken bij zoals toegang tot de microfoon of foto's. De gewenste permissies zijn mogelijk te verklaren vanuit de gewenste functionaliteit maar de eindgebruiker zal dit naar waarschijnlijkheid ook wantrouwen en niet accepteren. 

Broncode

De aangeleverde software kent een behoorlijke diversiteit in de mate waarin ze ‘gereed voor gebruik’ zijn: geen van de systemen is echter ‘af’. Dit verhindert ook een goede vergelijkende beoordeling van de bevindingen; waar bijvoorbeeld in één applicatiecomponent een matig hashing algoritme wordt gebruikt ontbreekt deze functionaliteit bij andere oplossingen in het geheel. 

Technische documentatie over de componenten is grotendeels afwezig gebleken. De broncode-onderzoekers hebben veel tijd besteed aan het uitzoeken hoe de componenten in elkaar zaten, (zo nodig) gecompileerd moesten worden en werkten. 

Algemene maatregelen om codekwaliteit te bevorderen zijn beperkt aangetroffen. KPMG zag afwijkingen van codingstandaarden en ‘magic literals’ (een anti-patroon waarbij nummers en tekenreeksen direct in de code gebruikt worden). Verder zijn er ook weinig unit-testen en maar beperkt inline documentatie aangetroffen in de broncode . 

Conclusie

De onderzoekers van KPMG concluderen dat op dit moment geen enkele app ‘af’ is, laat staan dat er een app gereed is om onder de bevolking ingezet te worden. Dit nieuws volgt kort op de aankondiging van de Autoriteit Persoonsgegevens, die stelt dat de huidige uitwerking van de app-voorstellen onvoldoende is om een inhoudelijk oordeel te geven. 

Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, zei in een verklaring dat de voorwaarden van de overheid voor de corona-apps “niet duidelijk genoeg” waren. “Het is nog maar de vraag of die app er wel kan komen. Natuurlijk zal de Autoriteit Persoonsgegevens eventuele voorstellen voor apps opnieuw beoordelen, mocht de overheid dat vragen. Maar alleen als de effectiviteit, de kaders, de plannen en de apps beter uitgewerkt zijn.”

Morgen beslist het kabinet over hoe het nu verder moet met de plannen voor corona-apps.

Lees ook

More on: KPMG
Netherlands
Company profile
KPMG
KPMG is a Netherlands partner of Consultancy.org
Partnership information »
Partnership information

Consultancy.org works with three partnership levels: Local, Regional and Global.

KPMG is a Local partner of Consultancy.org in Middle East, Netherlands.

Upgrade or more information? Get in touch with our team for details.

Send
Opnieuw recordaantal deelnemers voor jaarlijkse marathon van KPMG
Netherlands
Opnieuw recordaantal deelnemers voor jaarlijkse marathon van KPMG Komende zondag, 16 maart, vindt de Lentemarathon van KPMG plaats. Ditmaal doen meer dan 8.000 deelnemers mee: een nieuw record.
14 maart 2025
Two-thirds of businesses say they can weather a trade war that lasts over a year
Canada
Two-thirds of businesses say they can weather a trade war that lasts over a year Two-thirds (67%) of Canadian business leaders say their companies can weather a trade war that last more than a year, according to a KPMG survey.
05 maart 2025
KPMG deepens procurement technology offering with Penny Software
Saudi Arabia
KPMG deepens procurement technology offering with Penny Software KPMG has announced a Middle East-focused strategic partnership with Penny Software, a procurement technology company based in Saudi Arabia.
04 maart 2025
KPMG US names Timothy Walsh as chair and CEO and Atif Zaim as deputy chair
United States
KPMG US names Timothy Walsh as chair and CEO and Atif Zaim as deputy chair KPMG US has elected Timothy Walsh as chair and CEO and Atif Zaim as deputy chair for a five-year term beginning July 1, 2025.
04 maart 2025
KPMG Canada partners with SecurityScorecard
Canada
KPMG Canada partners with SecurityScorecard KPMG Canada has entered into a strategic agreement with SecurityScorecard, a New York-based provider of cybersecurity ratings and supply chain detection and response (SCDR) solutions.
28 februari 2025
KPMG unveils new integrated AI platform with early Australian release
Australia
KPMG unveils new integrated AI platform with early Australian release Global professional services firm KPMG is rolling out a new AI business transformation platform Velocity to its practices worldwide, with Australia among the first handful of countries on the list.
27 februari 2025
Dubai CyberForce Program names KPMG a certified provider
United Arab Emirates
Dubai CyberForce Program names KPMG a certified provider KPMG has officially become a Certified Provider for Penetration Testing services under the Dubai CyberForce Program.
26 februari 2025
Big Four accounting firms looking to grab a bigger slice of the legal services pie
United States
Big Four accounting firms looking to grab a bigger slice of the legal services pie Clients will increasingly turn to the Big Four for legal work because of their superior technology capabilities, KPMG’s Stuart Bedford told Bloomberg Law last week.
26 februari 2025

Crisis nieuws

Meer Crisis

Mobiel & Apps nieuws

Mobiel & Apps adviesbureaus Mobiel & Apps consultancy diensten

Openbare Orde nieuws

Openbare Orde adviesbureaus Openbare Orde consultancy diensten

Overheid nieuws

Overheid adviesbureaus Overheid consultancy diensten

Privacy nieuws

Meer Privacy

Projecten nieuws

Consultancy projecten in Nederland