Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Namaakversies CoronaCheck en Scanner-app sturen QR-codes door naar server

Namaakversies van CoronaCheck en CoronaCheck Scanner blijken de QR-codes die zij scannen door te sturen naar de server van een clouddienst. Dat schrijft NOS. Het is onbekend waarom de apps dat doen.

De makers van de namaakapps wilden niet reageren, meldt NOS. De apps sturen de QR-codes naar de dienst Pinata, blijkt uit een screenshot van NOS-journalist Joost Schellevis. Pinata omschrijft zich als een webdienst die zich richt op NFT's. De code lijkt erop te duiden dat de QR-codes worden opgeslagen door middel van IPFS. Tweakers heeft de verwijzingen naar Pinata ook in de code van de apps aangetroffen. Die zit in het bestand Trustlist.js in de Assets/www-map van de code van de app. In vorige versies van de app was de code te vinden in app.js in dezelfde map.

NOS heeft voor het artikel de apps opnieuw gecompileerd met eigen api-keys erin, waarbij de app dus contact maakte met Pinata via een account dat in beheer is van NOS. Daaruit bleek dat de apps volledige QR-codes doorsturen.

Het is onbekend waarom de makers de QR-codes verzamelen. Zij teasen via een knop in de app al een tijdje een functie om gebruikers QR-codes te laten maken die kloppen met eigen gegevens als initialen en geboortedatum. Die functie zou pas gaan komen als '2G' wordt ingevoerd.

De apps, die worden verspreid via een Telegram-groep, moeten een vervanging zijn voor CoronaCheck en CoronaCheck Scanner. Met de nep-CoronaCheck kan een gebruiker de papieren code van een familielid of bekende inscannen en gebruiken. De nep-Scanner maakt het mogelijk om aan de deur QR-codes te checken, waarbij de Scanner bij alle codes een groen vinkje laat zien, ongeacht of ze geldig zijn of niet. Het gebruik van beide apps is strafbaar.

Nep-CoronaCheck: connectie met Pinata-cloud
Nep-CoronaCheck: connectie met Pinata-cloud. Bron: @schellevis

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Arnoud Wokke

Redacteur

02-12-2021 • 14:02

396 Linkedin

Reacties (394)

-13940358+1137+219+30Ongemodereerd161
Wijzig sortering
Het is onbekend waarom de makers de QR-codes verzamelen. Zij teasen via een knop in de app al een tijdje een functie om gebruikers QR-codes te laten maken die kloppen met eigen gegevens als initialen en geboortedatum. Die functie zou pas gaan komen als '2G' wordt ingevoerd.
Dus waarschijnlijk is de bedoeling: geldige QR-codes van nietsvermoedende mensen stelen, en gebruikers die een valse QR-code willen hebben kunnen dan een code van iemand anders uitzoeken die toevallig dezelfde geboortedag / maand en initiaal heeft. (Want dat zijn de enige persoonsgegevens die in de Nederlandse QR-code zitten en die de echte check-app toont).
De makers van de namaakapps wilden niet reageren, meldt NOS.
Als de makers van de valse app bekend zijn, waarom worden die dan niet opgepakt?

[Reactie gewijzigd door jj71 op 2 december 2021 14:10]

Dus waarschijnlijk is de bedoeling: geldige QR-codes van nietsvermoedende mensen stelen, en gebruikers die een valse QR-code willen hebben kunnen dan een code van iemand anders uitzoeken die toevallig dezelfde geboortedag / maand en initiaal heeft. (Want dat zijn de enige persoonsgegevens die in de Nederlandse QR-code zitten en die de echte check-app toont).
Volgens mij werkt dat zo niet. De QR-code die de app genereert is maar 1 of 2 minuten geldig, in tegenstelling tot de geprinte QR-codes.

Om de QR-codes uit de app te kunnen gebruiken, zouden die codes nagenoeg realtime uit de scanner-app moeten worden doorgestuurd naar een iemand die met die QR-code gescand gaat worden.
En tenzij er op dat moment toevallig 2 mensen worden gescand (1 met de malafide scan-app en 1 met de malafide QR-app) die dezelfde initialen en geboortedata hebben, is de kans je een bruikbare code hebt erg klein.

Lijkt mij dus dat die codes ergens anders voor worden gebruikt, en dan denk ik eerder aan reverse-engineering of iets dergelijks.
Ik heb ze uitgelezen, ze zijn ongeveer een maand "geldig"

Generated: 2021-11-08 15:24:28
Expiry: 2021-12-06 15:24:28

(met hulp van http://www.corentindupont...2021-08-13-GreenPass.html, onderaan bij Summary zie je
4: 1683849600_2,
6: 1627732885_2,
dit zijn issuing en expiry datum van zijn specifieke QR code.

https://ec.europa.eu/heal...en-certificates_v3_en.pdf -> 2.6.3 Common Payload Values
)

[Reactie gewijzigd door MarkH NL op 2 december 2021 15:04]

Het artikel dat jij hier linkt gaat over de Europese "Green pass", hoewel die hetzelfde doel dient als de Nederlandse nationale QR-code, werkt hij technisch to heel anders.

Zie ook robotkots, een website gemaakt door NOS techjournalist Joost Schellevis die de API van de CoronaCheck app controleert om de laatste configuratie op te halen.
De binnenlandse QR-code is momenteel 60 seconden geldig.
Off topic: op de door jou gelinkte website staat ook een item "Killswitch ingeschakeld", heeft iemand een idee wat dit is?
Goede vraag en er is ook weinig publiekelijk over te vinden.
In de slack omgeving van Code For NL, wordt dit een paar keer besproken, mijn samenvatting hiervan is dat de "Kill switch" gebruikt kan worden om de apps en het backend te deactiveren.
Na het activeren van de kill-switch zullen de QR-codes dus niet meer gebruikt kunnen worden, ik vermoed (maar heb geen backup voor mijn vermoedens) dat de Corona Check App geen QR-codes meer zal genereren en tonen en dat de scanner app geen codes meer zal gaan scannen.
Thanks! Ik had inderdaad alleen de EU/internationale bekeken :-)
Vreemd dat er dan wel word gesuggereerd je code vooraf te genereren, en niet pas aan de deur van je favoriete restaurant.
De QR code veranderd elke minuut maar heeft maar eens in de 3 dagen de server nodig om nieuwe codes te genereren. Dus het is slim om de app ver van te voren te openen zodat een slome server je niet ophoudt.
De Europese green pass is een jaar geldig zelfs... Als je hem uitprint.

Ik gebruik hier in Spanje alleen de geprinte versie want ze hebben niet eens een app. Je moet inloggen op de lokale gezondheidswebsite die je dan een plaatje toont, maar je moet elke keer opnieuw inloggen en daar heb ik geen zin in. Dus ik heb hem gewoon uitgeprint. En gelamineerd op credit card formaat.

Wel heb ik hem ook geimporteerd in een app van F-Droid voor als ik de kaart niet bij me heb (maar deze app is wel veilig en open source zoals alles op F-Droid).

Ze gebruiken hier helaas de EU versie ook lokaal, met alle privacygevoelige data vandien.

[Reactie gewijzigd door GekkePrutser op 2 december 2021 18:10]

De SpTh app laat je je papieren QR digitaliseren naar Apple Wallet onder “Mis Viajes” -> “Mis CCDs”. Je kan ook scannen via die app maar de functionaliteit is relatief beperkt en de interface niet echt intuitief.

Zal misschien op Android ook wel soortgelijke functionaliteit hebben.

[Reactie gewijzigd door bramvandeperre op 2 december 2021 19:09]

Die SpTh app is alleen voor immigratie. Ik bedoelde het gebruik van de QR voor disco's en restaurants. Daarvoor gebruiken ze de 'rauwe' EU code.

SpTh voegt namelijk veel meer dan de QR code toe. Ook gezondheidsvragen enzo.

[Reactie gewijzigd door GekkePrutser op 3 december 2021 00:51]

Dat klopt, maar zoals ik zei kan je daar ook je EU DCC inladen en exporteren naar Apple Wallet voor gebruik in discotheken, restaurants, etc.

Dat ziet er dan zo uit: https://imgur.com/a/swVDpAw
Ahh ok.. Ik zal het eens proberen op mijn Android dan! Bedankt!
Ik weet toevallig waar jij op doelt. De wetgeving omtrent wie mag vragen om die identificatie. Wat mij echter onlangs opviel op de website van de rijksoverheid dat er nu staat dat gelegenheden die een QR code moeten vragen een identiteitsbewijs mogen vragen.

Dat het echter op de website staat betekend niet automatisch dat het wetmatig mag. Heeft iemand daar toevallig informatie over?

Zelf heb ik sinds de invoering van de coronapas 2 keer een gelegenheid gehad waar ik met een test een (uiteraard geprinte) QR code moest tonen. Ik heb in die gevallen voor de zekerheid mijn persoonsgegevens afgeplakt op mijn voorletters van voor en achternaam en de dag en maand van mijn geboortedatum na. Gelukkig heb ik echter in beide gevallen de legitimatie niet hoeven tonen.

[Reactie gewijzigd door tormentor1985 op 2 december 2021 22:45]

Exact. Het gaat mij niet alleen om het feit dat dit nu stilzwijgend door de meesten wordt geaccepteerd maar het heeft privacy en veiligheidsrisico's - vooral de combinatie van en een QRcode in combinatie met een legitimatiebewijs maar aan iedereen moeten tonen om ergens binnen te komen.

Het is nogal naief om te denken dat door 'de goede ervaringen hiermee' toepassingsbeleid straks niet wordt uitgebreid.

Daarnaast heb ik persoonlijk iets tegen het gebruik van de QRcode zelf, want het geeft een vorm van schijnveiligheid...want een groen vinkje? 'dan mag ik weer alles,' Testen, testen en testen en een lockdown (en niet 'lockdownachtige maatregelen' om electoraal zo weinig mogelijk schade op te lopen.)
Exact schijnveiligheid. Neem nou de vluchten uit Zuid Afrika. 3G beleid om op de vlucht te komen. 600 mensen en toch 61 besmet (10% van de vlucht!). Dat waren in ieder geval geen ongevaccineerden maar mensen die "door konden lopen" met hun code. Die zijn zogenaamd niet gevaarlijk.

Ik zou het geweldig vinden als er cijfers vrij gegeven worden hoeveel van de overige 539 mensen besmet is geraakt door zo'n ongevaarlijk persoon in de uren dat ze hutje mutje opgesloten zaten. Dan hebben we eindelijk een eerlijk antwoord hoe ongevaarlijk ongevaccineerden en herstelde mensen zijn en hoe besmettelijk ze zijn naar verschillende groepen.
Ik zou het geweldig vinden als er cijfers vrij gegeven worden hoeveel van de overige 539 mensen besmet is geraakt door zo'n ongevaarlijk persoon in de uren dat ze hutje mutje opgesloten zaten. Dan hebben we eindelijk een eerlijk antwoord hoe ongevaarlijk ongevaccineerden en herstelde mensen zijn en hoe besmettelijk ze zijn naar verschillende groepen.
Uiteraard is je punt dat gevaccineerden na een doorbraak infectie besmettelijk zijn correct, maar ik kan je verklappen dat ze niet zomaar kunnen achterhalen patient zero is in dat vliegtuig. Sterker nog, gezien tijd tussen besmetting, incubatie en detectie is het de vraag of het merendeel wel in het vliegtuig is besmet (vermoedelijk niet te beantwoorden, ook niet na sequencing).

Sowieso, als je gaat PCR-en direct na de vlucht ga je de mensen die besmet zijn geraakt in het vliegtuig er niet uit halen. PCR is gevoelig en nauwkeurig, maar een virus heeft tijd nodig om te incuberen (2-4 dagen, maar kan ook langer duren!). Vandaar dat je bij een besmette huisgenoot na vijf dagen moet testen en tot die vijf dagen in quarantaine moet blijven, ook al test je zelf nog negatief).

Betreft je grotere vraag, of je gevaccineerd bent of niet, je besmettelijkheid is ook afhankelijk van andere factoren. De ene persoon is een superverspreider, de ander niet, we weten nog steeds niet waarom dit zo is (waarom verspreiden sommigen veel load zonder dat ze zelf zware symptomen hebben?).

Een gevaccineerde wordt minder makkelijk besmet en is gemiddeld genomen minder besmettelijk (zie de ontwikkeling van R na een campagne). Maar zeker met nieuwe varianten kan dat (zoals je terecht opmerkt) niet afdoende zijn. Betekent bij lange na niet dat vaccinaties niet werken.

[Reactie gewijzigd door roffeltjes op 3 december 2021 09:11]

Er beginnen hints te komen dat gevaccineerd of reeds besmet geweest niet veel uitmaakt voor omicron.
Slecht 13 van de 61 gevallen betroffen de omicron variant. Dat gaat dus niet op. Ik denk dat we beter kunnen stellen dat de vaccins van de meest kwestbare groep van voornamelijk 70 plussers inmiddels is uitgewerkt. Wat dat betreft was het moment van plaatsen natuurlijk suboptimaal. We plaatsen toch ook geen griepvaccins na de griepgolf?
Slecht 13 van de 61 gevallen betroffen de omicron variant. Dat gaat dus niet op. Ik denk dat we beter kunnen stellen dat de vaccins van de meest kwestbare groep van voornamelijk 70 plussers inmiddels is uitgewerkt.
Nee, dat kan je zeer zeker NIET stellen! Het is minder effectief, niet uitgewerkt.... 8)7
Wat dat betreft was het moment van plaatsen natuurlijk suboptimaal. We plaatsen toch ook geen griepvaccins na de griepgolf?
We zaten Q1+Q2 midden in een gigantische golf |:(
Nee, dat kan je zeer zeker NIET stellen! Het is minder effectief, niet uitgewerkt.... 8)7
Ok de vaccins zijn bij deze groep flink minder effectief. Je kan niet anders stellen dan dat. Hoe verklaren we anders dat deze groep zo massaal in de ziekenhuizen ligt met corona?

15 nov - 21 nov
0-19 -> 11,5 per 1 miljoen inwoners
70-79 -> 314,5 per 1 miljoen inwoners
80-89 -> 623,3 per 1 miljoen inwoners
90+ -> 660,4 per 1 miljoen inwoners.

Waarom hebben we niet allang die groep 70+ zo snel mogelijk booster shots gegeven (als ze dat willen ;) wat ik ze echt zou aanraden op die leeftijd)? Tot 50 jaar zijn de besmettingen echt laag maar boven de 80+ gaan we bijna richting de 1 op de 1000 die corona heeft en ook nog eens in het ziekenhuis ligt daarvoor. Maar nee laten we vooral de focus leggen op de groep tieners die zich niet wil laten vaccineren. Als het om de capaciteit in de zorg gaat zou ik de prioriteit echt even ergens anders leggen.

[Reactie gewijzigd door tormentor1985 op 3 december 2021 15:17]

[...]
Ok de vaccins zijn bij deze groep flink minder effectief. Je kan niet anders stellen dan dat. Hoe verklaren we anders dat deze groep zo massaal in de ziekenhuizen ligt met corona?
Daar zijn we het niet over oneens, al zal het wel degelijk te maken hebben met de sowieso grotere verspreiding van het virus.
Tot 50 jaar zijn de besmettingen echt laag maar boven de 80+ gaan we bijna richting de 1 op de 1000 die corona heeft en ook nog eens in het ziekenhuis ligt daarvoor
Ziekenhuisopnames=/=besmettingen! Er zijn een heleboel mensen onder 70 besmet, sterker nog het gaat nu als een lopend vuurtje rond op de lagre scholen (klas van mijn dochter 30% van de kinderen!)
Maar nee laten we vooral de focus leggen op de groep tieners die zich niet wil laten vaccineren. Als het om de capaciteit in de zorg gaat zou ik de prioriteit echt even ergens anders leggen.
We hadden sowieso eerder moeten boosteren, zeker, maar dat beteknd niet dat de volle focus op de jongeren onnodig is. Het gaat daar namelijk keihard rond en zij infecteren helaas niet alleen andere tieners. Net zoals dat mijn dochter nu het hele gezin heeft besmet.

Daarnaast, het feit dat we nu weer klassen sluiten (meer dan 3 kinderen=Klas dicht) terwijl jongeren het al zo moeilijk hebben met de gevolgen van de lockdown is echt wel een bijzonder goede reden juist in die groep te blijven hameren op prikken. De oudjes die nu nog geen prik willen trek je toch niet over de streep, maar onder jongeren is veel winst te pakken.

Kortweg, je wil zowel boosteren als jongeren prikken. Gezien de tijd en de hoeveelheid prikken die de laatste maanden werd gezet had dat ook makkelijk gepast. Het is weer typisch Rutte/de Jong getreuzel.

[Reactie gewijzigd door roffeltjes op 3 december 2021 18:45]

Ik zie niet in waarom het prikken van kinderen of jong volwassenen noodzakelijk is voor een virus waar zij nauwelijks hinder van ondervinden. We gaven ook niet de hele bevolking de griepprik. Er zijn nu vaccins om de ouderen en kwetsbaren te beschermen dan kunnen we de rest van bevolking wel gewoon het virus laten krijgen en stoppen met die dwaze vrijheidsbeperkende maatregelen die ik de komende jaren helaas niet weg zie gaan. We gingen ook niet in lockdown met verkapte vaccinatieplicht voor influenza wat bijna net zo dodelijk is in dezelfde leeftijdsgroepen.

Verder heb je gelijk dat ziekenhuisopnames ongelijk zijn aan besmettingen, sterker nog er zijn meer besmettingen onder de jongeren onder de 20 jaar dan onder de 70 plussers. Niet alleen per 1 miljoen inwoners maar ook puur omdat die groep 4 x groter is. Desalniettemin zijn zij (en daarom maakte ik de vergelijking ook) geen enkel probleem voor de druk op de zorg wat nu de enige reden is voor maatregelen. Ik ben geen voorstander van medicatie gebruiken als men dat niet nodig neemt.

[Reactie gewijzigd door tormentor1985 op 3 december 2021 22:26]

Als er veel mensen het virus dragen besmetten ze de ouderen die jij claimt te willen beschermen. Het idee om mensen "vrij" vol met virus rond te laten rennen en toch zwakken te beschermen staat haaks op elkaar en zonder twijjfel weet je dat zelf ook wel. Maar de rest va je post geeft wel aan dat je het daar niet om gaat.

Meerdere mensen in mijn omgeving zijn overleden aan covid, anderen gingen in Coma en zijn nu langzaam aan het herstellen (worden nooit meer de oude). En nu zijn er in onze omgeving zijn er weer drie in Coma. Ik denk dat je wel snapt wat ik vind van je "griep" opmerking. Maar ja, respect voor anderen is helaas geen aangeboren iets, en sommigen missen blijkbaar een piezeltje empathie en verspreiden onzin omdat ze vertikken om verder te kijken dan hu eigen kleine cirkeltje.

Succes verder met het verspreiden van je mening, ik hoop van harte dat deze ziekte die ondanks dat ze niet erger is dan griep voor een brute oversterfte zorgt jouw omgeving blijft ontlopen. Dat anderen het minder treffen zal jou helaas niet van mening doen veranderen, maar dan nog gun ik niemand deze ellende.

[Reactie gewijzigd door roffeltjes op 3 december 2021 23:54]

Wat een ontzettende onzin. Je maakt geen onderscheid tussen:

- Doorbaakinfecties
- Viral load
- Symptomen
- Verloop

Dus zelfs als die hints er zijn (ook al is je dubbele vaagheid wel erg sneu "schijnen+hints") smijt je zonder enige nuance alles op een hoop, blijkbaar ongehinderd door enig vermogen tot onderscheid.

Dat je zonder enige kennis dit soort flauwekul posts maakt is te dwaas voor woorden.
Wat mij echter onlangs opviel op de website van de rijksoverheid dat er nu staat dat gelegenheden die een QR code moeten vragen een identiteitsbewijs mogen vragen.
[...]
Dat het echter op de website staat betekend niet automatisch dat het wetmatig mag. Heeft iemand daar toevallig informatie over?
Voor zover ik weet kennen we in Nederland alleen een wettelijke legitimatieplicht in specifieke gevallen: alleen aan bepaalde gezagdragers moet je jouw identiteitsbewijs laten zien als zij daarom vragen.

In tegenstelling tot in bijv. Frankrijk mag in Nederland iedereen om inzage in jouw identiteitsbewijs vragen (kopiëren, scannen of fotograferen zijn in de meeste gevallen wel verboden).

Dat mag jij weigeren, maar dan kan jou de toegang geweigerd worden (of krijg jij de huurauto niet mee, mag de speelhal niet in, krijgt een postpakketje niet mee bij het afhaalpunt, krijgt de baan niet of kun je de gewenste cigaretten/drank niet kopen).

[Reactie gewijzigd door ErikvanStraten op 3 december 2021 11:27]

Ik heb nu op twee plekken pas mijn legitimatie hoeven te tonen (uitzondering van mijn perspas, maar dat is in een restaurant van een overheidsgebouw met beveiliging.)
[...]

Volgens mij werkt dat zo niet. De QR-code die de app genereert is maar 1 of 2 minuten geldig, in tegenstelling tot de geprinte QR-codes.
Dus uitprinten of een 'geprinte versie' op je telefoon zetten.
Niet om te frauderen maar om problemen te voorkomen als je geen nieuwe QR-code laat zien omdat je data op is.
De app is juist gemaakt om te blijven werken zonder internetverbinding.
Net getest met airplane-mode en de app afgesloten.
Daarna de app weer gestart en hij laat gewoon een QR-code zien die elke minuut ververst wordt.
Maar dan moet je 'm wel ook regelmatig met internetverbinding gebruiken. Als je 'm al weken niet geopend hebt en dan zonder internet de app start, dan werkt hiet niet. Ben ik al meerdere malen tegenaan gelopen, geen 4G en dan moet je eerst een wifinetwerk gaan zoeken voor je een QR-code kan krijgen.
De papieren code is sowieso een jaar geldig
Zelfs als ze 2 minuten geldig zijn kun je ze makkelijk in die tijd doorsturen naar een andere app toch? Zolang je maar genoeg gebruikers hebt krijg je steeds nieuwe codes binnen...
Omdat het maken en hebben van een dergelijke app niet strafbaar is.
Alleen het gebruik van dergelijke apps als vervanging waar de oorspronkelijke app bedoelt is, is strafbaar.
Dit is wel een hele simplistische gedachte.
Ja maak jij een app thuis, die jij niet verspreid, puur om iets te testen. Dan ben je daar vrij in. Zodra je dit gaat verspreiden, dan ben je gewoon de sjaak.

Het argument "wij zij niet verantwoordelijk wat een ander er vervolgens mee doet", die gaat echt niet op.

Deze app heeft maar 1 doel, en dat is namelijk deze gegevens opslaan van mensen, en daar zit je al fout.
Of ze dit verder kunnen doortrekken tot bijv een gevaar voor de volksgezondheid, dat is nog even de vraag, maar strafbaar waren ze al bezig op het moment dat die app hun eigen prive omgeving verliet.
De overheid stelt dat toegangscontrole moet met behulp van de officiële app die door de overheid is ontwikkeld. Dat gedeelte maakt dat gebruik van een andere app (in het midden gelaten of die het zelfde doet, maar makkelijker of zoals in dit geval altijd een groen vinkje geeft (en nu blijkt de QR extern opslaat)) dus niet legaal voor gebruik.

Elke andere app, goedaardige en niet goedaardige zijn op zich dus niet illegaal, maar illegaal in gebruik omdat ze niet voldoen aan de overheid gestelde eisen voor toegangscontrole.
En het gebruik kun je dus geen enkele ontwikkelaar aanrekenen, behalve de uitbater die één van deze niet toegestane apps gebruikt om de 'controle' te doen.
Het gebruik kan je geen enkele ontwikkelaar aanrekenen?

Al jaren worden rechtzaken gewonnen in zaken waarbij producten primair worden gebruikt voor illegale doeleinden, en daardoor niet zijn toegestaan. Denk bijvoorbeeld aan de nodige flashkaarten voor handhelds.

Noem 1 goede reden op waarom iemand deze app zou gebruiken, zonder dat dit wordt gebruikt op een illegale manier? Want dat is de vraag die de app maker moet beantwoorden tegenover een rechter.
omdat je dan de auteursrecht wetgeving(civiele rechtzaken) kan op gaat. dat is hele andere koek. Overheden/OM houd zich eigenlijk alleen bezig met strafrechtzaken en dat is een stuk lastiger. ook is bewijslast een stuk hoger in een strafrechtzaak. je kan niet aankomen met een vermoeden van of aannemelijk maken dat verdacht x of y heeft gedaan.
Testen van veiligheidslekken. Proof of concept, voor normale qrcodes, eigen boekhouding voor gezondheids codes?

Software voor flashkaarten is naar mijn weten ook nog nooit verboden geweest. Maar de flashkaarten worden verkocht met als doel piraterij. Dat is waarom SXOS is aangeklaagd.

Daarom dat de homebrew community ook nooit piraterij mogelijk gemaakt, maar enkel homebrew. Zelfde geldt vaak voor mods.

In deze zou het aanbieden (eventueel voor geld) met als doel qrcodes van de overheid naar de cloud te sturen als illegaal gezien kunnen worden. Echter, dit geldt niet voor reguliere codes.
Testen van veiligheidslekken? Hoe helpt het verspreiden van deze app, met het testen van veiligheidslekken?
Proof of concept vereist geen verspreiding, hoeft ook niet nagemaakt te worden, maar kan compleet anders zijn qua design en naam.
Voor normale qr codes? Je bedoelt een reguliere scanner?
Eigen boekhouding? Juist want je doet een app namaken en verspreiden voor eigen boekhouding? En wij zijn codes?

Al die argumenten leggen alleen maar bloot hoe fout dit is. Er is geen geldige reden om een app na te maken, er als echt uit te laten zien, en deze verspreiden onder het mom van "leuk testje voor eigen gebruik".

De verkoop van flashkaarten ligt in die zin anders, dat was namelijk civiel. Dit draaide om geld, zij hadden inkomsten die financieel nadelig waren bij bijvoorbeeld Nintendo.
In het geval van deze app, kan er absoluut civiele zaken worden aangespannen wanneer er data wordt gestolen, maar valt het voornamelijk onder het strafrecht, namelijk dat deze app bewust gemaakt is om als de echte er uit te zien, om zo informatie van mensen te stelen zonder dat zij hier bewust van zijn, en deze vervolgens weer gebruikt kunnen worden om volksgezondheid te ondermijnen door mensen valse QR codes (als in codes die niet van hen zijn) te laten gebruiken.

En dan kan je zeggen: "Ja maar dat volksgezondheid is discutabel" of "mensen kiezen er zelf voor om gegeven te stelen", maar de makers kiezen er voor om de apps als echt er uit te laten zien en deze te verspreiden, dat is heel bewust gedaan. En dit is niet 1 of andere zogenaamde GTA clone advertentie van een app, wat in werkelijkheid heel veel advertenties is en totaal geen spel, maar dit is het nameken van een app die er voor de veiligheid is, gepubliceerd door de overheid.
Ik zeg ook niet dat ik het niet verboden zou kunnen zijn. Maar ik probeer te verklaren waarom in het bericht enkel het gebruik ervan strafbaar wordt gesteldt.

Ik ben geen rechter, dus ik weet het niet. Het is wel duidelijk waarom het niet in de Appstore te vinden is. ;)

Maar ik blijf erbij dat het maken ansich niet verboden is, het verspreiden daarvan (met als doel fraude aan te sporen) wel.
Echter de achterliggende libraries zijn dan weer niet strafbaar. Een QR-backapp ook niet.

[Reactie gewijzigd door Bliksem B op 2 december 2021 21:31]

Noem 1 goede reden op waarom iemand deze app zou gebruiken, zonder dat dit wordt gebruikt op een illegale manier?
Illegal, ja. Immoreel, nee. Het is wel een feit dat heel veel (te veel) van de maatregels, voor welke dit QR-meuk is gebruikt, helpt in geen enkele manier in het vecht tegen corona, of de kost ervan is veel te hoog voor minuscule winst.
Wie zegt dat deze apps in Nederland worden ontwikkeld? :)
Maar het faciliteren ervan kan wel strafbaar zijn. Zo is het ter download aanbieden van .torrent bestanden voor content waar copyright op zit ook strafbaar, ondanks dat de beheerder van een tracker zelf geen enkel bestand hoeft te hebben of te hosten. Op diezelfde manier zijn fora waar je een huurmoordenaar in kan huren ook niet populair, ondanks dat daar geen illegale dingen gehost worden.

Dus heel simpel, een app die illegaal is in gebruik is even legaal om te beheren/ontwikkelen.
Op diezelfde manier zijn fora waar je een huurmoordenaar in kan huren ook niet populair, ondanks dat daar geen illegale dingen gehost worden.
Een forum dat gericht is op de markt van huurmoordenaars faciliteert dat, en dat is gewoon illegaal.
Dat is toch precies mijn punt? Een app die enkel en alleen bedoeld is om de normale corona apps te omzeilen en het gebruik waarvan illegaal is, faciliteert dus het plegen van een strafbaar feit, en is daarmee ook gewoon illegaal. Geen reden dat ze de makers ervan niet kunnen oppakken of op z'n minst dwingen te stoppen met het ontwikkelen ervan.
Het gebruik van een app die altijd een groen vinkje geeft, mag jij geheel legaal bij jou voordeur gebruiken omdat je met 3 vrienden een feestje wil hebben bij jou thuis. De app gebruiken bij een restaurant om met de zelfde 3 vrienden binnen te komen om wat te gaan eten, is niet legaal. De overheid stel eisen aan welke app gebruikt wordt.

Een (huur)moordenaar inhuren om in bij jou thuis een moord te laten plegen, is even strafbaar als ze zelfde moordenaar dit is een restaurant te laten doen.
Het gebruik van een app die altijd een groen vinkje geeft, mag jij geheel legaal bij jou voordeur gebruiken omdat je met 3 vrienden een feestje wil hebben bij jou thuis.
Nou... eigenlijk niet. Inzet CTB mag alleen op de door de minister aangewezen locaties, en dat is jouw huis dus niet.
Dus mag je thuis dus uitsluitend de "foute app" gebruiken. De normale in ieder geval niet.
Bij jou thuis heb je die app dus niet nodig. Deze app is maar met 1 reden gemaakt en die is illegaal.
Heel leuk maar in het artikel staat het volgende:
Het gebruik van beide apps is strafbaar.
Dat is niet 'het gebruik van beide apps in een restaurant is strafbaar', maar gewoon dat deze apps gebruiken in een situatie waar de andere app nodig is strafbaar is.

Je hebt wel gelijk in dat het geïnstalleerd hebben van de app op zichzelf niet strafbaar is, maar ze hebben toch ook die ParkeerWekker app neergehaald? Datzelfde kunnen ze hiermee ook gewoon doen.
In je eerste zin begin je nog met "kan" strafbaar zijn. Je sluit af met dat het een feit "is" dat het strafbaar is.

Daarbij gaat je vergelijking met het aanbieden van een torrent of diensten niet helemaal op. De app maken moet je zien als het .torrent bestandje aanmaken, dit mogen jij en ik ook van elke content doen die je in bezit heb. Het daadwerkelijk gebruik van de app is gelijk aan de .torrent file beschikbaar stellen op een website. Dit deel mag dan weer niet.

Het ontwikkelen zelf is niet strafbaar. Dus zo simpel als jij stelt is het niet.
Ik vraag me af of je bewering klopt, wanneer je je realiseert dat het hier om het opslaan van (beperkt geanonimiseerde) persoonsgegevens gaat...
maar dat weten ze nu pas. tevens ga je dan de AVG kan op. en dat betekent een boeten en het eventueel aanpassen van de app en daar is de kaus dan weer mee af. of zullen we elk bedrijf/persoon die de AVG overtreed oppakken? moeten we toch echt meer gaan investeren in het gevangenis wezen. anders zit het snel vol.
Opslaan Van de info is volgens mij toch echt wel strafbaar
We weten nu alleen dat de QR codes verzonden worden naar een externe partij. Het is niet duidelijk wat er daarmee gedaan wordt. De zekerheid van opslaan staat dus nog niet vast.

En daarbij doet de overheid roepen dat alle privacy data uit de QR code is gehaald. De code zou dus niet naar een persoon te herleiden zijn. Daarmee is het eventueel opslaan van de NL QR code niet meteen onder strenge regels.
Anders is het voor de internationale QR code. Daarin staan veel meer persoons gegevens.
Omdat het maken en hebben van een dergelijke app niet strafbaar is.
Alleen het gebruik van dergelijke apps als vervanging waar de oorspronkelijke app bedoelt is, is strafbaar.
Deze namaak-apps hebben puur als doelstelling het faciliteren van de illegale verwerking van persoonsgegevens welke in tweede trap gebruikt kunnen worden om identiteitsfraude te plegen.

Het maken; verspreiden en in bezit hebben van dat soort software is vziw net zo illegaal als een koevoet standaard achter in je auto hebben liggen. Op het moment dat oom agent je aanhoudt en zo iets aantreft, heb je ook iets uit te leggen.

[Reactie gewijzigd door R4gnax op 2 december 2021 16:42]

dan moet je dat wel kunnen bewijzen en voor nu weten we alleen dat ze verstuurt worden naar een cloudserver. Dus een AVG overtreding. boeten aanpassen en klaar zou ik zeggen.
Dat zou alsnog niets op moeten leveren. De QR-codes die de officiële app uitspuugt zijn maar iets van 10 minuten geldig, daarna krijg je alweer een andere. Het zou stupide zijn als de "oude" QR-code daarna nog geldig zou blijven, want dan zou je dus een foto kunnen maken en die gewoon blijven recyclen. Ik kan me niet voorstellen dat ze al die moeite doen om een automatisch vernieuwende code te maken en dan de oude niet ongeldig maken of een houdbaarheid meegeven.

Having said that, de papieren variant is wél aantrekkelijk voor dit doel, want die verloopt niet. Of in ieder geval niet op korte termijn.
Krijg je ook een nieuwe QR code als je geen internet verbinding hebt?

Heb zelf alleen wifi, en na een maand was mijn code verlopen, nu dus elke week ff app opstarten om te verversen.
Je moet sowieso de afgelopen drie dagen de app een keer gestart hebben met een Internet verbinding om de app offline te kunnen gebruiken.
minder vaak dan dat hoor, heb het na twee weken ook wel eens gebruikt, en werkt toen ook nog.
Maar ik update tegenwoordig vaker.
Je hebt gelijk. Ik dacht dat dat eerst 3 dagen was, maar het is nu blijkbaar 10 dagen.
Om je coronabewijs te maken heb je op dat moment verbinding met internet nodig. Daarnaast moet de CoronaCheck één keer per tien dagen online zijn om instellingen op te halen. Om de QR-code vervolgens te tonen heb je geen internet nodig. Als je bij een evenement of op het vliegveld bent heb je dus geen internetverbinding nodig.
https://coronacheck.nl/nl...onacheck-app-ook-offline/
Nouja, dat ze bekend zijn bij de NOS betekent (gelukkig) nog niet dat ze ook bekend zijn bij de autoriteiten.

Daarnaast lijkt het mij ook aannemelijk dat ze dit doen om geldige QR-codes te stelen. Dan wel om door te verkopen, dan wel om ze in te zetten als "valse" QR-codes. Blokkeer je die, dan blokkeer je ook iemands legitieme QR code en dan wordt het weer wat complexer om te bestrijden, kan ik mij voorstellen.
Kan natuurlijk ook zijn om een beter inzicht te krijgen in het algoritme dat gebruikt wordt, zodat er uiteindelijk de app een geldige nep QR-code kan genereren.
Met cryptografie is het redelijk makkelijk te regelen dat zoiets onmogelijk is. De hele setup wekt de indruk dat dit vast het geval is.
Als de makers van de valse app bekend zijn, waarom worden die dan niet opgepakt?
Beter is waarom wordt de server waarop dit staat nu uit de lucht gehaald.
Dus waarschijnlijk is de bedoeling: geldige QR-codes van nietsvermoedende mensen stelen, en gebruikers die een valse QR-code willen hebben kunnen dan een code van iemand anders uitzoeken die toevallig dezelfde geboortedag / maand en initiaal heeft. (Want dat zijn de enige persoonsgegevens die in de Nederlandse QR-code zitten en die de echte check-app toont).
In deze security.nl bijdrage beschrijf ik hoe een relay attack voor dynamische QR-codes zou kunnen werken (doet me een beetje denken aan hoe Teamviewer NAT omzeilt).

Overigens openbaarde Follow The Money vandaag dat de modellen die zouden aantonen dat QR-codes werken, en waar het OMT en kabinet zich op baseren, niet meer dan drijfzand zijn.

Nb. het FTM artikel is te lezen als je Javascript in je browser uitzet.

Edit: verkeerd stukje quote weggehaald

[Reactie gewijzigd door ErikvanStraten op 3 december 2021 17:35]

Wat nu als ze in in Rusland of het Oostblok zitten? Ik verwacht eerlijk gezegd niet snel dat er snel ingegrepen zal worden.
Ja, want de Russen hebben zo veel zin om Nederlanders zonder QR code te helpen...
Als ze er goed aan kunnen verdienen? (QR's verkopen) waarom niet?
Beetje chaos creëren klinkt wel als een normale actie uit die richting eigenlijk
Ik zie het meer zo dat corona-activisten uit ons land een mogelijk samenwerking met dat schimmige volk aangaan. Blijven ze buiten schot. Je moest eens weten hoeveel bank-scammers niet uit dit land komen.

[Reactie gewijzigd door AW_Bos op 2 december 2021 16:40]

er zullen vast Nederlanders zijn die in Rusland wonen. en nog warmen banden hebben met Nederland.
kijk hoeveel turken nog warmen banden hebben met Turkije.
Dat vroeg ik mij ook af. Ook hoe de NOS aan de broncode komt.
Wat ik me nu dus afvraag: wat nu als ik ergens naar binnen wil, en gescand wordt aan de deur met één van die fake apps? (Omdat bijvoorbeeld de kroegbaas tegen de QR maatregel is, of de medewerker aan de deur dit doet.)

Dan wordt mijn QR dus gejat, en kan deze misbruikt worden.

Eigenlijk is mijn vraag: hoe weet ik dat degene/het bedrijf dat scant, ook daadwerkelijk de officiële app gebruikt? Ik snap dat deze challenge aan de gebruikers kant zit, maar waarom niet aan de uitvoeringskant?
Misschien gekke vergelijking, maar bij internetbankieren wil je het slotje zien, het certificaat kunnen controleren, het domein bekijken, de juiste gegevens terugkrijgen, etc. etc.
Dan wordt mijn QR dus gejat, en kan deze misbruikt worden.
Dat is nog tot daar aan toe, maar als die QR-code vervolgens geblokkeerd raakt (want gebruikt bij fraude), dan heb je als goedwillende burger weer een probleem. Zeker omdat je daar niet bewust aan meewerkt is dit een erg schoftige truc.
Het is natuurlijk wel een groot risico voor de kroegbaas. Als die door de mand valt kan die de tent wel sluiten. Wordt die niet gesloten door de overheid dan blijven de klanten wel weg. Ik denk niet dat je dat risico als ondernemer wilt lopen. Dat geldt ook voor personeel, je riskeert, naast een strafzaak, je baan als je dit doet.
Wat ik apart vindt is hoe gebruik wordt gemaakt van dit soort scanners in vermoedelijk kroegen/restaurants en dat de overheid geen notie heeft blijkbaar dat op specifieke addresses helemaal geen officiele scans worden uitgevoerd. Het moet toch wel ergens opvallen dat bepaalde addressen dus veel minder scans in verhouding hebben dan elders?
Die scans worden niet op een server bijgehouden. Beide apps hebben geen internetverbinding nodig tijdens gebruik.

De overheid weet dus niet hoe vaak er gescand wordt. Als ze dat zouden willen kunnen zouden de apps op de telefoon van een persoon die moet scannen eerst op de een of andere manier aan het bedrijf gekoppeld moeten worden.
Dit zou je dus kunnen voorkomen door QR codes te voorzien van een korte geldigheid. Net als een QR code van ideal elke 30sec automatisch vernieuwd wordt.
Ik begrijp de bezwaren van een online code, maar op deze manier heb ik er dus geen invloed op dat mijn geldige QR code, uit de officiele CoronaCheck app, door een bouncer met de fake scanner app ergens op het internet in een zwart gat verdwijnt en vervolgens later misbruikt wordt bij een 2G scenario.
Het op voorhand downloaden van een QR code in de officiele app welke vervolgens maximaal x maal offline die dag gebruikt mag worden zou dit misbruik al volledig voorkomen.
Dit principe gebruikt de huidige app al.
Hier krijg je elke 60 seconden een nieuwe QR-code, de achterliggende informatie waarmee deze QR-code aangemaakt wordt staat niet in je QR-code en kan dus ook niet door een malafide scan-app achterhaald worden.
Maar als je na het ophalen van de QR code offline gaat blijft de huidige QR code 30 dagen geldig! Dus dat je regelmatig een nieuwe krijgt betekend niet dat de QR codes ook zo'n korte levensduur hebben.
Ik dacht ook dat dat waar is maar het is toch niet zo. Net volgende experiment gedaan:

1) CoronaCheck app openen
2) Foto maken van QR code met ander apparaat.
3) Half uur wachten
4) De eerder foto scannen met de scanner app

Als je niet een half uur wacht werkt dit, krijg je een idcheck+groene vink, maar als je eerst een tijdje wacht krijg je ongeldige code melding.
Hoe werkt die dynamische geldigheid?
M.a.w. hoe weet een qrcode dat hij over 5 seconden offline gaat en hij dan ineens een maand geldig is?
Ik heb niet in de code gedoken, maar ik neem aan dat er een timestamp in zit wanneer de QR code gegenereerd is, en de scanner app zal wel checken of er geldigheid is. En dat in combinatie met de timestamp in de app om te weten of ie kan laten zien dat de QR code niet meer geldig is. Dat zou je kunnen testen door offline te gaan met je telefoon, tijd een maand vooruit te zetten, en dan kijken wat de app doet.

Maar, dat is hoe ik 't ingebouwd zou hebben.
Volgens mij genereert de app zelf de QR code op basis van informatie die de app ophaalt van de server, die informatie van de server heeft een beperkte levensduur, maar wel een stuk langer dan de QR codes zelf. Daardoor kan de app ook geldige QR codes genereren als je offline bent. De QR codes zelf zijn maar heel beperkt geldig.

Pas als je een vrij lange tijd offline bent zal je geen QR codes meer kunnen genereren.
Maar dat is vooral om te voorkomen dat men je op basis van de QR code kan tracken. De QR code zelf is langer dan 60 seconden geldig. Volgens mij zelfs 10 dagen, aangezien de CoronaCheck app ook werkt zonder Internet.
Je hebt er volledig gelijk in dat privacy een reden is om die codes maar 60 seconden geldig te houden.
Maar probeer maar eens een screenshot van een QR code te maken (als je op iOS zit in ieder geval, op android kan dit niet) en die 60 seconden later te scannen.
Deze code is dan toch echt ongeldig.

De benodigde informatie om hiervan weer een geldige QR-code te maken zit niet in de QR-code.
Je kan met alleen een screenshot van een verlopen QR-code geen nieuwe geldige QR-code maken.

Jouw app heeft deze informatie wel, je kan inderdaad een paar dagen lang (volgens mij wel korter dan 10 maar ik kan de data hiervan niet vinden) geldige QR-codes maken zonder netwerkverbinding.
De data zelf is een maand geldig, echter bevat de QR-code een apart veld met de tijd van aanmaken. Als deze tijd teveel verschilt van die op de scanner, zal die als ongeldig beschouwd worden.

Door dit ene veld aan te passen naar de huidige tijd, kan er een maand lang een geldige code gegenereerd worden.
Als daar geen cryptografische check op zit dan moet ik mijn standpunt "het is heel redelijk opgezet" herzien. Maar voorlopig houdt mijn sttandpunt zijn terrein...
Iedereen zonder smartphone heeft dan pech. Mij oma van 90 heeft echt geen smartphone meer voor die corona check app.
Uiteraard zal dit niet voor iedereen kunnen werken, er is nooit een "one size fits all" oplossing. Zo gaan ze nu ook QR codes uitdelen aan ongevaccineerde mensen die vanwege medische reden geen vaccinatie kunnen krijgen. Zolang dat uitzonderingen blijven is dat prima.

een voorbeeld van een oplossing zou kunnen zijn dat jouw oma bvb nog steeds de papieren versie mag blijven gebruiken, maar voor jongeren wordt de online QR code verplicht om een kroeg binnen te komen op zaterdagavond. Voor deze doelgroep is het niet aannemelijk dat ze geen toegang hebben tot een smartphone.
Leeftijdsdiscriminatie lijkt mij niet een gewenste oplossing.
Was dat wel zo dan hadden we er ook in het begin voor kunnen kiezen om alleen 65+ in lockdown te zetten
Dit is toch geen leeftijdsdiscriminatie? Het is het scopen van je maatregelen op de doelgroep adhv statistieken. Hoeveel procent van de oma's fraudeerd doelbewust met de QR code en hoeveel procent van de kroeggangers? Op basis van dergelijke statistieken kan je toch best andere maatregelen nemen? Het is ook geen maatregel op basis van leeftijd, maar op basis van locatie. Dus als oma om 2300 een cafe in wil op stratumseind in eindhoven dan mag ze ook mooi een online code laten zien.
We schieten in Nederland altijd snel in de extremen en gaan dan met zware woorden als discrimineren, stigmatiseren, etc gooien.

Onder aan de streep wil iedereen zo snel mogelijk uit deze ellende, de makkelijkste manier om daarvoor te zorgen is als IEDEREEN zich aan dezelfde set met regels houdt en er niet omheen probeert te werken door via telegraam nep/gestolen codes te kopen. Nu blijkt dat dat utopisch is en niet gaat gebeuren, en dan is het wat mij betreft prima om op risico groepen/locaties/evenementen andere regels toe te passen. Dat heeft echt niets met discriminatie te maken.
Eens, altijd die extremen zoeken. En dan er van alles bij halen zoals discriminatie. Zo makkelijk. Eigen verantwoordelijkheid nemen is ook zo moeilijk.

[Reactie gewijzigd door Buzzing op 3 december 2021 18:06]

Hmmm...mijn moeder is 85 en heeft gewoon een smartphone. Ze snapt net genoeg om te bellen en patience te spelen :+
Maar de ene persoon is de andere niet. Fijn voor jouw moeder!
Ik heb een PDF met de QR op mijn telefoon gezien mijn telefoon beveiligd is. Komen dus geen extra apps op en ga echt niet elke dag een nieuwe PDF downloaden omdat de geldigheid zo nodig verkort moet worden.
Nog even los van de mensen die überhaupt geen smartphone hebben.

Zit er dus niet op te wachten dat dit soort capriolen gaan plaatsvinden, het wordt steeds gekker hier in NL (en dan bedoel ik de mensen die alles proberen te omzeilen).
Inmiddels heeft iedereen weer last van een kleine groep die het voor de meerderheid verziekt.
De code lijkt erop te duiden dat de QR-codes worden opgeslagen door middel van IPFS. Tweakers heeft de verwijzingen naar Pinata ook in de code van de apps aangetroffen.
Zijn NFT's altijd openbaar? Zo ja, zijn de QR-codes dan niet gemakkelijk automatisch te blokkeren, door gewoon de data te scrapen? :?

[Reactie gewijzigd door The Zep Man op 2 december 2021 14:06]

Als je zo dom bent dat je zo'n app wil gebruiken, denk je dan dat je lukt? ;)
Issue lijk vooral te zijn dat als jouw valide QR code gescand wordt door een namaakscanner jouw valide QR code naar de cloud gaat... Vertrouw jij de organisatie waar jij op bezoek gaat de juiste scanner app te gebruiken?
Eigenlijk zou jouw QR code app eerst aan de scanner een generieke test QR moeten tonen, waarmee getest wordt of de scan app valide is. In dat geval krijgt jouw app een seintje terig en laat hij jouw echte QR code zien aan de scan app, die dan ziet of je erin mag of niet.

@Daoka zie antwoord van @R4gnax :)

[Reactie gewijzigd door Strebor op 2 december 2021 17:30]

Mooie theorie, en als jijzelf een custom versie van de app voor jezelf maakt (en daarmee mogelijk de wet overtreedt...!? ik heb geen idee) dan werkt dat. Maar als dit is hoe scannen in het algemeen werkt, voor iedereen, dan is er makkelijk omheen te werken: bij de eerste scan altijd zeggen "ongeldige code" (want de test code moet wel ongeldig zijn; als je een geldige code kunt genereren als test, dan kun je ook een geldige code genereren voor de echte controle) en bij de tweede altijd "geldige code" geven.

Wat je normaal gesproken zou doen om te controleren of je de scanner kunt vertrouwen is iets als het volgende. Je genereert een nonce (een lang random getal, zonder enige betekenis), die versleutel je met een public key en laat je als QR-code scannen. Als de scanner de originele nonce laat zien, dan heeft ie bewezen dat ie over de bijbehorende private key beschikt en dat het dus (als er geen keys uitgelekt zijn...) de officiële app is.
Die methode werkt hier niet, omdat de code van de scanner (zowel source als object trouwens) openbaar beschikbaar is, zodat je die private key nergens kunt verstoppen. Iemand die de app wil namaken hoeft alleen even te zoeken waar die key precies staat, hem over te nemen in zijn eigen app en dan lijkt die opeens ook officieel te zijn. (Ja ja, ik weet het, in theorie kun je in openbare code een geheim verstoppen. Dat heet DRM en is, voorzichtig gezegd, "geen ideale oplossing".)
En hoe garandeer je dan dat de seintje terug niet nep is dan? Zodra ze weten wat de juiste seintje is kunnen ze dit natuurlijk ook zo namaken.
En hoe garandeer je dan dat de seintje terug niet nep is dan? Zodra ze weten wat de juiste seintje is kunnen ze dit natuurlijk ook zo namaken.
Cryptografische handshake en one-time tokens.
Hier zijn goedwerkende protocollen voor.

Hoe denk je dat een HTTPS verbinding tot stand komt?
Dat is een issue als in dat anderen die mogelijk niet gezond/gevaccineerd zijn wel binnen kunnen komen inderdaad. Dat weet je niet en kan je volgens mij ook niet controleren.
En als ze mensen kunnen overtuigen om de internationale te laten scannen (omdat we 2G beleid voeren oid) hebben ze ineens best veel persoonsgegevens van je.
hebben ze ineens best veel persoonsgegevens van je.
Je naam, geboortedatum en vaccinatie gegevens, meer niet... dat is best niet veel...
Je volledige naam zoals op je paspoort en je geboortedatum is overigens genoeg om een beetje identiteitsfraude te doen hoor. Bijna alle medische instellingen gebruiken die nog steeds als "verificatie".
Klopt maar volgens mij staat je geboortejaar er niet in. Alleen naam, geboortedag en -maand.
Dat klopt niet hoor. Bij inschrijving moet je je legitimeren met een legitimatie bewijs. Voor de verificatie van juiste patiënt juiste ingreep wordt vaak naam en geboortedatum gevraagd ter controle en vergeleken met het dossier. Het twee bronnen systeem.

In theorie kun je je voordoen als iemand anders om zo toch als verzekerd over te komen bijvoorbeeld maar daar is geen noodzaak voor omdat onverzekerden ook gewoon zorg krijgen
en we nog steeds in het ziekenhuis kunnen belanden (is statistisch te onderbouwen, maar daar is Tweakers gelukkig niet voor)
Maar de statistieken zijn hier dan van belang. Wat is de kans dat je in het ziekenhuis komt vanwege corona complicaties voor een gevaccineerde en die van een niet gevaccineerde?
Tja, ik heb er geen controle over of bijv. een restaurant eigenaar de officiële of deze namaak app gebruikt om mijn QR te verifiëren. Zonder mijn weten is mijn code dan doorgestuurd naar een derde partij.
waar ik dan benieuwd naar ben is het volgende
ik ben te goede trouw en heb een "officieele" code en deze wordt gescand met een malafiede app
vervolgens wordt "mijn" code geupload en gebruikt door iemand met zelfde initialen en geboortejaar.
deze wordt onderschept en geblokkeerd

en dan de vraag
wordt er dan automatisch een nieuwe code in mijn check app gegenereerd
of ben ik dan het haasje omdat ik de authenciteit van de app van de mr/mevr bij welke gelegenheid kan controleren => leek
en wordt ik als ontwetende burger geblokkeerd

[Reactie gewijzigd door xtrme op 2 december 2021 14:10]

en dan de vraag
wordt er dan automatisch een nieuwe code in mijn check app gegenereerd
Ik weet dat er om de zoveel tijd een nieuwe code gegenereerd wordt. Mits er niets anders wordt gedaan naast het blokkeren van een enkele QR-code, zou je gewoon na verloop van tijd een nieuwe QR-code moeten ontvangen.

Overigens zouden enkel gelekte QR codes niets op moeten leveren, mits corona checkers daadwerkelijk het aangeboden identiteitsbewijs controleren (initialen van eerste voornaam en achternaam, geboortemaand, en/of geboortedag). Vanuit mijn beperkte ervaring zie ik dat deze controles vaak tegenvallen. Daarop zou ook gehandhaafd moeten worden.

[Reactie gewijzigd door The Zep Man op 2 december 2021 14:15]

Wacht, wijzigt je QR-code dan af en toe? Onlangs was mijn telefoon kapot en kon ik dus zelfs geen cafe binnen (wilde eigenlijk naar het toilet). Heel onaangenaam.

Dus heb ik thuis mijn QR-code afgeprint en gelamineerd, zodat ik zelfs niet meer te maken kan hebben met een platte batterij e.d. Ook voor mijn ouders hetzelfde gedaan.

Maar als ik het goed begrijp, dan kan het zijn dat ik na afzienbare tijd (1 week, maand, ...?) toch nog een ongeldige QR-code op mijn kaartje heb staan? (Qua security zou ik het wel snappen hoor, die roterende qr-codes).
Nee, jouw geprinte QR-code blijft gewoon werken.
Nee, jouw geprinte QR-code blijft gewoon werken.
Voor een jaar. En nu de langere termijn werking v/d vaccins in twijfel komt kunnen ze ook die QRs waarschijnlijk remote intrekken op het moment dat ze een half jaar oud zijn geworden om op die manier ze eerder te laten verlopen.
De digitale QR code in de CoronaCheck app verloopt zelfs erg snel, dus ik begrijp uit je verhaal dat geen van jullie de geprinte QR code nog hebben gecheck? Dat kan je namelijk eenvoudig zelf doen door de CoronaCheck Scanner app te installeren (en waarmee je dus in wezen voor portier kan spelen).

Het enige alternatief is een papieren code aanvragen, wat eigenlijk bedoeld is voor digibeten of mensen die om andere redenen niet de app kunnen gebruiken (statushouders zonder DigiD bijvoorbeeld).
De papieren versie is niet enkel voor digibeten. Sterker nog een digibeet gaat nooit aan de code komen aangezien deze ver weg gestopt zit.
Maar ga je buiten de EU dan heb je de papieren versie nodig. Leef je in een gebied met slecht/geen data? Papier mee. Al een paar keer gehad dat de app vertikte een qr te laten zien zonder dataverbinding.
De papieren versie is niet enkel voor digibeten. Sterker nog een digibeet gaat nooit aan de code komen aangezien deze ver weg gestopt zit.
https://coronacheck.nl/

Scroll naar beneden en daar staat levensgroot een blok "Liever een papieren bewijs?" met een vette helderblauwe knop "Maak papieren bewijs" die je doorstuurt naar https://coronacheck.nl/nl/print/

Nou; dat zit echt 'ver weg gestopt' ... :: rolt ogen ::
Dit is er pas gekomen na heel veel klachten.
Deze pagina bestond een half jaar geleden nog niet. Het wat of heel veel bellen. Of bij de ggd langs en daar blijven zeuren.
Toen was de enige digitale mogelijkheid via digid en tig pagina's door. Mocht dit voor mezelf en een paar mensen die ik ken doen.

@The Third Man De term digibeet is behoorlijk ongepast. Zeker in deze. Aangezien iedereen met een smartphone de app wel geïnstalleerd en werkend kreeg. Die gene die een papieren versie nodig hadden/hebben is/was een andere groep mensen. En dat heeft helemaal niets met digi te maken.
Daarom reageer ik zo fel. En blijf ik dat ook doen.
Dit is er pas gekomen na heel veel klachten.
Deze pagina bestond een half jaar geleden nog niet.
Ik heb hem in mijn Firefox history staan op 2021-08-14.
Dat is de laatste keer dat ik hem bezocht had, om mijn codes af te drukken.
Daar voor heb ca. 3 weken om de paar dagen via die pagina gecontroleerd of mijn QR codes al beschikbaar waren.

Mijn ouders hebben hun prikken al eerder gehad en hebben datzelfde nog een paar weken daarvoor gehad. Met dezelfde pagina; op dezelfde website; bereikt via dezelfde manier; die grote blauwe knop direct op de homepage.

Dit bestaat dus al minstens sinds begin-/midden-juli zo.
Oftewel: lul niet. Zeer kort op het moment dat het prikken in grote getalen los ging, is die pagina er al gekomen.

[Reactie gewijzigd door R4gnax op 2 december 2021 18:33]

Deze pagina bestond een half jaar geleden nog niet.
CTB is ingevoerd op 25 september, dus dat die pagina een half jaar geleden nog niet bestond, is zo gek niet...
Mijn gedownlad bestand is van 3 augustus. De eerste weken (vanaf 24 juni) was de app nauwelijks beschikbaar volgens dit artikel:
https://www.nu.nl/tech/61...erlanders-gedownload.html

Laten we stellen dat de app pas vanaf half juli goed beschikbaar was, waardoor je met 6 maanden, wellicht 6 weken bedoelt ;)
@The Third Man De term digibeet is behoorlijk ongepast. Zeker in deze. Aangezien iedereen met een smartphone de app wel geïnstalleerd en werkend kreeg. Die gene die een papieren versie nodig hadden/hebben is/was een andere groep mensen. En dat heeft helemaal niets met digi te maken.
Daarom reageer ik zo fel. En blijf ik dat ook doen.
Maar ik noem toch ook gewoon twee groepen?
digibeten of mensen die om andere redenen niet de app kunnen gebruiken
Het lijkt nu net alsof je bij het woord digibeet al in je emotie schiet en de rest niet leest, om vervolgens je af te zetten van de indruk dat ik specifiek digibeten noem als waar de papieren code voor bedoeld is... Ik volg dan ook niet wat er ongepast aan is, het is een normaal woord (zie o.a. https://onzetaal.nl/taaladvies/digibeet) en het wordt juist vaak door die groep zelf gebruikt om hun vaardigheden te duiden. Het is eigenlijk gelijkwaardig aan zeggen 'ik ben een leek op dat gebied' in specifiek dat opzicht van het gebruik van digitale zaken.

[Reactie gewijzigd door The Third Man op 3 december 2021 11:42]

Deze pagina bestond een half jaar geleden nog niet.
Ik heb zowel de homepage als de printpagina op 22 april bezocht.
De papieren versie is niet enkel voor digibeten. Sterker nog een digibeet gaat nooit aan de code komen aangezien deze ver weg gestopt zit.
Mijn digibeet tante kreeg het toch voor elkaar door net zo lang informatielijnen te bellen totdat iemand haar het nummer gaf waarmee ze het kon aanvragen.
Maar ga je buiten de EU dan heb je de papieren versie nodig. Leef je in een gebied met slecht/geen data? Papier mee. Al een paar keer gehad dat de app vertikte een qr te laten zien zonder dataverbinding.
Valt dat niet onder "of mensen die om andere redenen niet de app kunnen gebruiken" :?
Valt dat niet onder "of mensen die om andere redenen niet de app kunnen gebruiken" :?
Dan heb je om een of ander reden een probleem. Je kunt dan bv het restaurant niet in.
Als dat wel zou mogen dan altijd je data uitschakelen en klaar.
Dat zou wel erg fraudegevoelig zijn :-)
wat eigenlijk bedoeld is voor digibeten of mensen die om andere redenen niet de app kunnen gebruiken
Of voor mensen die de app gewoon niet willen gebruiken of niet afhankelijk willen zijn van een smartphone.

Je QR code is je bewijs, niet de app.
Precies, maar dankzij het wegvallen van de beveiliging die de app biedt (snel verlopen van de code) kan het eenvoudig ook een bewijs voor iemand anders worden. En diens broer en diens vriendin en ga zo maar door.
En voor mensen die de app niet kunnen gebruiken, doordat die niet in de Huawei Gallery app staat en mogelijk ook niet in andere alternatieve stores voor mensen die geen Google / Apple gecertificeerd OS/smartphone heeft
Dacht een keer gelezen te hebben op Github dat ze wel op Fdroid staan oid, of iig de coronamelder.
In mijn geval gebruik ik de papieren versie omdat ik geen overheidsapp op mijn telefoon wil en het ding ook vaak bewust niet meeneem
De QR code in de app verandert zelfs vaak.
Als je een papieren versie wilt kun je die als PDF downloaden op https://coronacheck.nl/nl/print/

Voor vaccinaties is die in principe 1 jaar geldig. Tot ze dat veranderen natuurlijk, maar dat alsnog verkorten is volgens mij ook niet zo gemakkelijk.
Als je, zoals hierboven aangegeven, de pdf hebt uitgeprint zit het wel goed. Heb je een screenshot gemaakt, dan is die na een paar minuten nutteloos.
Ik heb een screenshot gemaakt van de "papieren" versie en die werkt al vanaf september, dus geen papier of app nodig!
Geen zorgen, geprinte codes zijn (op moment van schrijven) een jaar geldig vanaf het moment dat de PDF geproduceerd is. Uiteraard tot nader bericht, misschien dat er ooit nog een update komt waardoor alle bestaande codes ongeldig gemaakt worden.
De code in PDF / geprinte versie blijft een jaar geldig vanaf je laatste vaccin. Dat staat ook op het formulier als je die hebt gedownload.
Er zijn ook mensen die een uitgeprinte versie hebben die veranderd niet zo snel he!
Maar Hugo heeft nu gezegd dat de QR-code half jaar geldig is het is nu zelfde als eu QR-code dus je zal elke keer als je QR-code verlopen is moeten boosteren(vaccinatie omdat de effectiviteit minder word) anders is je QR-code niet geldig ! :

https://wnl.tv/2021/12/02...-coronapas-ter-discussie/
Je spreekt over verschillende vormen van 'geldigheid':

Het certificaat van vaccinatie krijgt/heeft een verloopdatum. Met een booster kan je een nieuw certificaat van vaccinatie krijgen.

De QR code die gegenereerd wordt als je een geldig certificaat hebt, heeft een verloopdatum waarna deze niet meer geldig is. Onafhankelijk van deze datum kan een QR code ingetrokken worden. Dit kan ook met een code op papier.

[Reactie gewijzigd door The Zep Man op 2 december 2021 17:33]

Dit kan een probleem zijn voor een "papieren" code, deze zijn lang geldig (1 jaar).
Voor codes in de app kan ik me niet voorstellen dat dit een probleem gaat opleveren aangezien die kort geldig zijn (60 seconden).
Deze "korte" codes zullen dus ook niet snel geblokkeerd worden, en als ze wel een keer geblokkeerd worden heb je zelf na 60 seconden een nieuwe code.
Dit kan een probleem zijn voor een "papieren" code, deze zijn lang geldig (1 jaar).
Ook codes op papier kunnen op de zwarte lijst belanden. In dat geval kan iemand gewoon een nieuwe code uitprinten.
je code wordt redelijk vaak vernieuwd,
als je bij Android je code opent en kijkt goed dan zie je hem gewoon veranderen.
bij iphone niet, maar open de code maar eens 2 keer achter elkaar, je zult zien dat de 2e al anders is.
volgens mij wordt er een timestamp mee gestuurd oid, dus als er 1 geblokkeerd wordt zul je daar niks van merken.
Initialen en geboortejaar hoeft niet eens te kloppen, in de horeca wordt nergens naar een identiteitskaart gevraagd, die laten de persoon gewoon toe bij een groen vinkje en klaar.
in de horeca wordt nergens naar een identiteitskaart gevraagd, die laten de persoon gewoon toe bij een groen vinkje en klaar.
Ik heb verschillende horeca gezien waarbij het expliciet wel werd gecontroleerd. Ook lijken bioscopen het serieus aan te pakken. Net als overal, zitten er rotte appels tussen. Zonder handhaving (hoge pakkans en grote gevolgen) blijf je dat houden.
Ik heb de broncode niet gezien, maar in theorie kunnen de makers van de nep-apps de data van de QR-codes natuurlijk makkelijk versleutelen voordat ze deze uploaden.
Dit is precies de discussie die ik laatst had.
BTW. Ik ben geen anti-vaxxer of anti corona maatregele in het algemeen, maar wel kritisch oplettend van wat er nu allemaal gebeurt.

De discussie ging inderdaad precies hierom. Ik heb een valide QR code en als die gescand word moet eigenlijk ter check ook je ID worden gecontroleerd.
Dus een niet valide code van een ander persoon zou eigenlijk niet moeten kunnen worden toegelaten.
De controle is in de praktijk echter alleen die groene vink in de app van de controlerende partij. Er wordt in de meeste gevallen niet om een ID gevraagd.

Mijn vraag is hoe controleer IK of de app die ze gebruiken wel valide is? En of die app niet bijv. mijn QR code doorstuurt naar een of andere server. Zeker als die app door een of andere rus of chinees is gemaakt.
Er zijn echt vele apps die QR code scannen en checken. Maar ik zou eigenlijk willen dat die apps niet moeten worden toegelaten tenzij ze van onze overheid afkomstig zijn.
Dan nog zou ik willen weten wat onze overheid met die scans doet. Is het alleen een lokale check of wordt er online nog iets gecontroleerd en opgeslagen.

In het kort zou ik wel willen weten of de gebruikte apps wel valide zijn. En dat kan ik dus niet controleren op het device van de controleur.

Al met al heb ik veel vraagtekens over de veiligheid van deze Corona QR scanners.

[Reactie gewijzigd door t-force op 2 december 2021 14:56]

Daar zat ik toevallig ook over na te denken zojuist.

Het enige wat ik kon bedenken was het expres tonen van een neppe QR code.
De nep-Scanner maakt het mogelijk om aan de deur QR-codes te checken, waarbij de Scanner bij alle codes een groen vinkje laat zien, ongeacht of ze geldig zijn of niet.
Als de neppe scanner wordt gebruikt dan zal jouw neppe code dus een groen vinkje krijgen, dan weet je dus al genoeg.

Alleen moet je dan wel 2x een code laten scannen en elke keer weer uitleggen waarom je ze de 1e keer een neppe QR hebt getoond.
De officiële scan-app is open source dus de validatie kan alsnog gebeuren. Als de QR-code alleen wordt geuploaded voor apparaten met een geldige code dan ben je nog geen stap verder.

Aangezien dit allemaal op de openbare blockchain gaat, is het natuurlijk wel makkelijk voor de overheid om steekproefsgewijs langs te gaan met "gemarkeerde" codes tijdens de controles die ze toch al moeten doen in mijn optiek. Iedere zaak een nieuwe code, en iedere keer als zo'n code verschijnt kan de politie meteen actie ondernemen.

Ik snap de wappies niet zo, deze manier van werken moedigt de overheid alleen maar aan om de geldigheid van de papieren codes te beperken en om redenen te geven de "vrijheden" waar ze zo'n kabaal over maken verder in te perken. Het is alsof ze een harde lockdown wíllen.
Ik snap de wappies niet zo, deze manier van werken moedigt de overheid alleen maar aan om de geldigheid van de papieren codes te beperken en om redenen te geven de "vrijheden" waar ze zo'n kabaal over maken verder in te perken. Het is alsof ze een harde lockdown wíllen.
Hun uiteindelijke reden weet ik natuurlijk niet. Maar mogelijk is het dat het inderdaad gaat om de rechten gelijk trekken. Of dit nou zal worden dat de dus dusdanig onbetrouwbaar gemaakt wordt en dat dus scannen niet meer hoeft of dat de lockdown inderdaad weer komt is dan nog de vraag.

Het kan ook gewoon een soort van protest zijn. Bijvoorbeeld tegen de leugens die de overheid heeft zoals dat de app überhaupt niet zou komen. Of hoe er met de data omgegaan werd zoals dat medewerkers gewoon overal bij kon zonder problemen.
Klein offer om te voorkomen dat je identiteit gestolen wordt toch.
Mijn vraag is hoe controleer IK of de app die ze gebruiken wel valide is? En of die app niet bijv. mijn QR code doorstuurt naar een of andere server. Zeker als die app door een of andere rus of chinees is gemaakt.
Het idee achter het Nederlandse QR code systeem is dat je dat niet hoeft te controleren, omdat de QR codes maar heel beperkt geldig zijn. Na 1 dag vervalt de geldigheid van de QR code en deze code bevat enkel je geboortedag en maand en je initialen. Onvoldoende gegevens dus om echt privacy-problematisch te zijn.

Als een malafide scanner app jouw QR code upload naar een server, dan kan deze slechts een dag worden gebruikt voordat deze niet meer geldig is. De impact is dus zeer beperkt.

Het ligt anders bij de Europese QR codes, want die bevatten de volledige naam en geboortedatum en hebben een veel langere geldigheid. Hiermee is zowel op het gebied van inbreuk op privacy als op het gebied van misbruik van de QR code door anderen veel meer mee te doen door kwaadaardige partijen.
Mijn geboortedag, maand en initialen zijn ruim voldoende om mij persoonlijk te identificeren. Er zullen bar weinig andere Nederlanders zijn met dezelfde combo, ik vermoed 0.

[Reactie gewijzigd door batjes op 2 december 2021 20:08]

Ook daar heeft het systeem een oplossing voor, want als jouw combo van dag, maand en initialen te weinig voorkomt, dan wordt een deel van deze gegevens weggelaten. In de scan app zie je dan bijvoorbeeld een streepje bij de eerste letter van de achternaam.
Yup, bij mijn QR code staat alleen de eerste letter. Ben blijkbaar een uniek persoon ;)
Gebeurt dit echter dan wel aan de scanapp-zijde, of is er zodoende een manier om een soort van wildcard-QR's te bemachtigen voor sujetten als die achter dit soort apps zitten?
Toevallig heb ik een dubbelganger: zelfde voor- en achternaam, dezelfde geboortedatum. Heel vervelend als je bijvoorbeeld het adres op je levensverzekering moet wijzigen en die dubbelganger ook bij dezelfde verzekeraar een polis heeft.
Maar voor de QR geen probleem want ik ben GEWOON gevaccineerd 😏
r r 03 06

ik zeg go vind mij. want het is zo makkelijk volgens jou.
Mijn geboortedag, maand en initialen zijn ruim voldoende om mij persoonlijk te identificeren. Er zullen bar weinig andere Nederlanders zijn met dezelfde combo, ik vermoed 0.
Ik heb door voor pseudonimisatie-doeleinden onderzoek naar gedaan. Je zult schrikken, zelfs als je de actuele postcode er in betrekt heb je best veel kans op "adminstratieve tweelingen". Nu zijn er mensen met vrij weinig voorkomende voorletters (Q, X, Y, Z), maar een beetje normale voornaam en achternaam leidt al snel tot dubbelingen, zeker omdat geboortedata niet uniform over het jaar gespreid zijn.
Foutje van mijn kant, ik zat met voorletters in mijn hoofd. :X
Als een malafide scanner app jouw QR code upload naar een server, dan kan deze slechts een dag worden gebruikt voordat deze niet meer geldig is. De impact is dus zeer beperkt.
Er zijn nog wel ander methodes te bedenken.
QR-code genereren. Telefoon uit zodat geen nieuwe code wordt aangemaakt.
Dan die code doorverkopen.
Ja staat op jouw naam, maar iemand met een illegale app heeft jouw code gejat. Dus geen probleem.
Al met al heb ik veel vraagtekens over de veiligheid van deze Corona QR scanners.
Heel goed punt. Ik durf alleen nog een stap verder te gaan door te stellen dat ik inmiddels meerdere vraagtekens over überhaupt de veiligheid die dit systeem pretendeert te kunnen "garanderen". Denk dat er inmiddels voldoende bewezen is dat er geen enkele medische onderbouwing meer is voor heel het QR systeem. De problemen rondom de app e.d. daargelaten.
Mee eens, dit soort problemen was van begin af aan al te voorzien. Uiteraard heeft optreden tegen het gebruik en de makers misschien zin, maar je loopt gewoon het risico dat jou geldige code een keer word gevonden op zo'n server en vervolgens in de officiële app geblokt wordt.

Heb zelf de QR-codes uit ons buurland op papier, en die verlopen niet. Dus als ik ergens heen ga en er wordt met zo'n valse app "gecontroleerd" loop ik dus serieus risico dat ik, buiten mijn schuld om, later nergens meer binnen kom omdat mijn QR-code door de officiële app wordt geblokt. Lijkt me een kwestie van weken voordat we hier de eerste nieuwsberichten over gaan zien.

Net zoals die app die een melding zou moeten geven, is het idee dat je met een app een virus kunt bedwingen nonsense gebleken. Beetje de fallacy dat je met automatisering alles wel kunt oplossen, en alles wat de computer zegt voor waar aangenomen wordt.

[Reactie gewijzigd door barbarbar op 2 december 2021 15:48]

Ik zit op het zelfde niveau als jij.
Niet tegen controle maar wel kritisch over de manier waarop.
Punt is dat de app blijkbaar niet foutloos werkt en soms (nu twee keer meegemaakt) door een scanner niet gescand kan worden. Ik heb zelf ervaren dat een code op mijn telefoon niet herkent werd door scan apps op twee verschillende telefoons.
Nadat ik de app gedeinstalleerd had en via DigiD de codes weer opnieuw aangemaakt had werd door een van de twee toestellen mijn code herkent. Het toestel van de medewerker van de locatie waar ik naar binnen wilde herkende mijn code echter niet.
Later in de week stond ik achter iemand bij een soortgelijke situatie.
Als ik een uitgeprinte QR code bij mij moet hebben omdat ik de app niet kan vertrouwen is de app in principe waardeloos.

Daarnaast vind ik het uitermate vreemd dat het controleren van Identiteitsbewijzen naar het niveau van 16 jarige weekendkrachten zonder BOA opleiding is verplaatst.
Niet voor niets adviseert de overheid voorzichtig om te gaan met de gegevens op identificatiebewijzen en raad in gevallen ook een app aan om informatie af te schermen.
Het is echt niet moeilijk te bedenken dat met de hoeveelheid mensen die nu naar een identiteitsbewijs kunnen vragen er gevallen tussen zitten die de informatie weten te scannen en misbruiken.
Dat afschermen wordt aangeraden als je een kopie van je id laat maken. Volgens mij wordt dit niet gezegd over het laten zien van je legitimatie (zoals bijvoorbeeld bij het kopen van alcohol of sigaretten door een jong uitziend iemand).
Het is inderdaad correct dat die app aanbevolen wordt om een kopie te maken waaruit gevoelige informatie is weggelaten. Maar de reden dat dat wordt aanbevolen is omdat er informatie op een legitimatiebewijs staat die misbruikt kan worden en wordt.
Nu wordt echter de groep mensen aan wie ik mijn legitimatiebewijs moet laten zien groter en daarmee het risico op misbruik ook groter. Want wie zegt dat, op het moment dat ik mijn legitimatiebewijs laat zien die informatie niet via een goed geplaatste beveiligingscamera of iets dergelijks vastgelegd wordt?
Citation needed. "In de meeste gevallen". Waar dan? Ik moet tot nu toe altijd mijn ID kaart laten zien...

Ja bij de snackbar niet, daar wordt niet eens om een QR scan gevraagd. Bij de Verhage alleen als je binnen wil wachten op je bestelling, nadat je al 20 minuten binnen in de rij hebt gestaan dicht geprakt op andere mensen. Super-effectief.
In mijn geval in zeker 90% van de gevallen wordt er niet om een ID gevraagd.
Dan nog zou ik willen weten wat onze overheid met die scans doet. Is het alleen een lokale check of wordt er online nog iets gecontroleerd en opgeslagen.
Beide apps zijn lokaal, zonder koppeling naar een server of dienst. Beide apps zijn ook probleemloos zonder internetverbinding te gebruiken.

De scan app krijgt soms een update i.v.m. geblokkeerde codes of onderhoud, maar dat is zover ik weet een reguliere update via de store. Er is dus geen check tegen een online database o.i.d.
Echt crimineel dit, zou pinata.cloud dit niet kunnen tegenhouden?

Vreemd dat de Google AppStore zulke applicaties ook toelaat.

Je kunt je toch ook niet voorstellen dat een winkelketen zwangerschaps- of corona-tests gaat verkopen die altijd een negatieve uitslag geven.
De apps, die worden verspreid via een Telegram-groep, moeten een vervanging zijn voor CoronaCheck en CoronaCheck Scanner.
Aangezien de apps worden verspreid via een Telegram-groep denk ik dat de app niet zomaar in de Google Playstore te vinden is. Het zal waarschijnlijk om een losse .apk gaan die de gebruiker zelf dient te installeren buiten de Playstore om.
Is het niet mogelijk om deze apps te "flaggen" via de google play protection, deze scant immers je telefoon om te kijken of er schadelijke software op draait. Deze zou dus de apps gewoon kunnen blokkeren neem ik aan?
Probleem, veranderen ze 2 regels code en heeft ie weer een andere hash.
Vreemd dat de Google AppStore zulke applicaties ook toelaat.
De apps worden automatisch gescand; er komt geen mens meer aan te pas. Al die apps, dat is niet meer bij te houden. Wordt dit actief geblokkeerd bij Apple trouwens? Of is het daar hetzelfde?
Je kunt ook nog bij Google Android ook nog sideloaden zonder daarvoor uit de playstore apps installeren!
Volgens mij staat er in het artikel dat ze in telegram groepen worden gedeeld. Oftewel, die krijg je alleen op je toestel door de APK te sideloaden, niet vanuit de appstore.
kunnen apple en google niet gedwongen worden deze malifide apps die mijn gegevens stelen te blokkeren?
Ik mag toch hopen dat deze apps niet via de Play/App Store te downloaden zijn. Het staat niet in het artikel, noch in het artikel van de NOS.
Zelfs in de Apple store staan vele QR Check apps???
Bij Google/Android kan je ook nog makkelijker de store negeren en een vage APK installeren.
In de App Store even gekeken, zie daar enkel a) voor de Corona QR-codes officiële apps van verschillende landen, b) normale QR-scanners die al tig jaar bestaan. :P

Ik kan zo 1,2,3 geen malafide app vinden die beweert Corona QR’s te scannen.
Met de standaard instellingen kan Google wel zorgen dat mensen niet per abuis namaakapps op hun eigen Android zetten.
Maar ze kunnen het niet verhinderen als een scannende persoon zelf ervoor kiest die namaakscanner op zn eigen Android te zetten.
Als je dan je QR laat zien aan zo'n iemand kan er vanalles mee gebeuren.
Apple heeft geloof ik wel volledige controle erover (jailbreak exploits daargelaten).
waarschijnlijk om een voorraad geldige QR-codes aan te leggen om te verkopen aan mensen in geval van 2G. Ik zou geen andere nuttige reden kunnen verzinnen momenteel.

Maar goed, verspreid via Telegram groups.
Geen idee maar ik haal m'n apps gewoon uit de officiele appstores, dus next :)
Maar wat als jouw valide QR-code gescand wordt door iemand die de scanner-app wél uit die Telegram-groep haalt?
Maar goed, verspreid via Telegram groups.
Geen idee maar ik haal m'n apps gewoon uit de officiele appstores, dus next :)
Het is niet alleen de checker app die jij op je phone installeert die gefaked wordt, maar ook de scanner die de andere partij moet gebruiken. Dus jij kunt nog steeds zonder zelf iets fout gedaan te hebben je QR laten scannen door een foute app en op die manier je QR code laten skimmen.
Vernieuwd die QR niet geregeld dan? Bij het maken van een screenshot ververst de QR sowieso direct waardoor de opgeslagen code niet meer geldig is, maar ik dacht dat er om de X minuten sowieso een nieuwe QR werd gegeven en de oude dan ongeldig werd. Als ik dat goed heb begrepen zou je weinig hebben aan de QR codes die gefotografeerd zijn vanaf apps als je ze niet binnen minuten doorverkoopt, enkel aan de papieren codes als daar geen verloopdatum op zit.

Maarja, verder geen idee wat hun mogelijkheden zijn met de gegevens die ze verzamelen, gezien zij blijkbaar ook beweren zelf QR codes aan te gaan bieden die je kunt genereren met je eigen gegevens...?
Good for you, maar waar jij je apps vandaan haalt is hier irrelevant, want het gaat om de scanner app, waar jij geen invloed op hebt.
klopt. Neemt niet weg dat ik er vanuit ga dat zo'n controleur ontslagen wordt en aangeklaagd bij gebruik van die app. Uiteraard is dat niet op technisch vlak waar het hier om gaat, maar ik wil het slechts gezegd hebben.
De vraag is of het de controleur aan te rekenen is, dat hij de verkeerde app gebruikt (m.a.w. of er opzet of grove nalatigheid in het spel is). Als de app + logo + omschrijving goed genoeg zijn nagemaakt, heeft de controleur misschien niet eens in de gaten dat ie een foute app gebruikt.
volgens mij betreft het hier gewoon gezond verstand.
Je haalt de app uit de appstore en niet uit een of ander chatkanaal op Telegram.
of ben ik nou naief?
Ik ga er van uit dat niet iedereen hun eigen spul hoeft te gebruiken om te scannen. Dus als controleur A het erop zet en controleur B de dienst overneemt dus de valse app gebruikt. Of je krijgt een telefoon van de baas met app erop. Dan gaan de meeste mensen er ook maar van uit zonder bewijs dat het de echte app is. En de kleinere kans maar stel dat iemand de telefoon ontlockt even laat liggen (of helemaal geen lock gebruik om sneller te kunnen scannen) en een klant installeert de foute app.
Mag toch hopen dat ze hard op zoek gaan naar de criminelen die dit soort namaak-apps actief inzetten en verspreiden, en ze dan flink beboeten plus forse celstraf. Stelen van (medische) gevoelige gegevens, schenden van de privacy van burgers die niet eens weten dat hun gegevens gejat worden, documenten vervalsen, belangrijke maatregelen omzeilen, mensen aanzetten tot crimineel gedrag en ondermijnen van effectieve maatregelen… De mensen die de app met dit doel doorsturen en/of doelbewust gebruiken ook. Geen excuus “ik wist het niet :’(“, dat weet je echt wel en gewoon medeplichtig.

Hopelijk lopen er ook ambtenaren rond met speciale eenmalige QR-codes, zodat als zo’n QR-code dan ergens (in de cloud) opduikt ze meteen weten welke crimineel hem gejat heeft en bij welke locatie dat was.

Overigens zou dit natuurlijk veel minder een probleem zijn als QR-codes een fors beperkte levensduur zouden hebben maar alé.

[Reactie gewijzigd door WhatsappHack op 2 december 2021 14:14]

Maar je word verplicht je QR-code te laten zien en kan niet controleren of het wel de echte scanner app is. Mijn QR-code zou dus al gestolen kunnen zijn.

Dit systeem is eigenlijk van geen doen moet ik eerlijk zijn.

[Reactie gewijzigd door MrFax op 2 december 2021 14:14]

“ Maar je word verplicht je QR-code te laten zien en kan niet controleren of het wel de echte scanner app is. Mijn QR-code zou dus al gestolen kunnen zijn.”

En daarom moeten de criminelen die dit doen heel hard aangepakt worden met forse boetes en celstraffen met een verplicht minimum wat mij betreft. Het ondermijnt de correcte werking van het systeem en het boezemt mogelijk (privacy) angst in omdat je niet weet of een of andere crimineel gewoon je (medische) data aan het jatten is terwijl je gewoon nietsvermoedend een restaurantje in wil.
Er zit geen medische data in de Nederlandse code, kijk zelf maar door de CoronaCheck Scanner te installeren en je eigen code te scannen. Je krijgt dan bijvoorbeeld een deel van je naam en van je geboortedatum te zien, bedoeld voor de controleur om samen met je ID te checken of de code bij jou hoort.
Er zit geen medische data in de Nederlandse code,
Bij een geldige QR code weet je dat iemand gevaccineerd is, herstellende is, en/of recent negatief getest is. Dat is medische data. Dat de controle hiervan geaccepteerd wordt, komt omdat deze data enkel op het moment van controle wordt verwerkt en niet wordt opgeslagen.

[Reactie gewijzigd door The Zep Man op 2 december 2021 14:50]

Er zit geen medische verantwoording meer achter de code. Leuke discussie over alles eromheen maar het doel wat werd beoogd met dit systeem kan al lang niet meer gehaald worden. Zo snel mogelijk weer afschaffen dus.
Jawel, deze apps geven ook een groen vinkje bij ongeldige QR codes. Dus als je bij een tent staat waar je vermoed dat het scannen niet pluis is laat je een eerst ongeldige QR code zien, krijg je een groen vinkje weet je genoeg. En gelijk even aangifte doen natuurlijk.
Waarom zou ik een overheidstaak, namelijk handhaving, overnemen?
Waarom zou je testen of een tent de boel oplicht. Nou, wat dacht van ons gezamenlijke doel om uit de coronacrisis te komen? Wat dacht je van het doel om niet in nauw contact te komen met mensen die mogelijk corona hebben?
Omdat die tent anders fraude pleegt met jouw gegevens? Het is de taak van de overheid om de wet te handhaven, maar dat sluit jouw individuele verantwoordelijkheid niet uit.
Oh, en natuurlijk het hele doel van de CoronaCheck-app; als een toko zo'n app gebruikt die altijd een groen vinkje geeft, kunnen er zonder problemen mensen met Corona naar binnen. Een Corona-ontkenner heeft daar natuurlijk geen probleem mee, maar als gemiddelde burger wel.

[Reactie gewijzigd door EvilWhiteDragon op 2 december 2021 16:13]

Omdat die tent anders fraude pleegt met jouw gegevens? Het is de taak van de overheid om de wet te handhaven, maar dat sluit jouw individuele verantwoordelijkheid niet uit.
Mijn individuele verantwoordelijkheid in deze context komt niet verder dan zorg dragen dat ik zelf niet deelneem aan fraude.

Als ik dus dergelijke fraude vermoed, dan ben ik daar weg, zonder valse QR-codes op te gooien om te controleren of er wel of niet fraude plaats vindt. Dat mogen de BOA's lekker doen.
Waarom zou ik een overheidstaak, namelijk handhaving, overnemen?
Maar je laat het wel over aan een onderbetaalde horeca werknemer ?

Als je dan zo principieel bent, moet je dit soort plekken in het geheel vermijden
Maar je laat het wel over aan een onderbetaalde horeca werknemer ?
Daar ben ik het eveneens niet mee eens; handhaving ligt nu bij partijen die baat hebben bij gebrekkige handhaving.
Als je dan zo principieel bent, moet je dit soort plekken in het geheel vermijden
Gelukkig ben ik wat dit betreft niet principieel.
Ga je jezelf aangeven omdat je een vervalste QR-code hebt gebruikt?
Ongeldig != vervalst
Kan toch zijn dat mijn testbewijs toevallig net verlopen is?
Een stuk schade valt natuurlijk ook te beperken als mensen voor de verandering zouden lezen wie de maker/uitgever van de app is. Dat zou ook al een boel schelen. Ik wil daarmee dit soort apps niet goed praten, maar men kan wel voorkomen dat men in dit soort apps trapt.
Hele domme vraag misschien, maar hoe kun je als burger controleren of je met de echte QR scanner app te maken hebt in plaats van de namaak? Het trustmodel is nu erg eenzijdig: de hele constructie is zo opgezet dat burger de controlerende persoon maar moet vertrouwen.

Dit laat zien dat het trustmodel eigenlijk tweezijdig zou moeten zijn: de controleur kan kwade intenties hebben. Nu is de specifieke digitale qr-code beperkt houdbaar, maar de papieren variant kan natuurlijk onbeperkt geoogst worden ..
De digitale QR code is beperkt houdbaar, maar lijkt real-time te distribueren zodat je binnen X minuten bij een ander naar binnen lijkt te kunnen op dezelfde QR code.

Verder lijkt het me heel moeilijk om te controleren of de ander een echte app gebruikt of niet. Immers alles is digitaal na te maken met aangepaste software en afbeeldingen.

Je komt dan al gauw op gecertificeerde verzegelde hardware scanners uit, met hologram stickers e.d. Hoop gedoe als je ergens naar binnen wilt.
Verder lijkt het me heel moeilijk om te controleren of de ander een echte app gebruikt of niet. Immers alles is digitaal na te maken met aangepaste software en afbeeldingen.
De scanner is gekoppeld aan een bedrijf, en heeft dus geen privacy-problemen. Je zou natuurlijk de scanner een QR-code kunnen laten tonen om zijn bedrijfsidentiteit te verifieren. Als dan de verkeerde bedrijfsnaam boven komt, dan heb je wel een probleem met de scanner-app.

Dit verdubbeld de processingtijd per gast (tenzij je als groep binnenkomt), maar soms moeten de goeden maar onder de kwaden lijden vrees ik.
Gekoppeld aan een bedrijf? Ik kan gewoon de scanner app (iOS, officieel) starten zonder enige vraag om in te loggen. Nergens ook maar die optie om te koppelen?
Klopt, maar dat soort vrijblijvendheid/anonimiteit blokeert dat je als gecontroleerde kunt zien met wie je zaken doet. De kernvraag is "Wie controleert de controleurs?".

Als je een app koppelt aan een bedrijf dat controles moet uitvoeren en vervolgens die gegevens als overheid ondertekent (wat ook de essentie is van de QR-code van de gecontroleerde), dan kan ik zien of een bedrijf een geldig certificaat heeft. Omdat bij die controle privacy geen rol speelt (want bedrijf) kun je dus alle relevante bedrijfsgegevens van de controleur op de gecontroleerde zijn/haar telefoon tonen, met de signature van de overheid.
Het kan ook crypto: de scanner maakt een qr: ik ben scanner van de overheid, corona-qr aub? De gebruiker zijn app controleert dat eerste en maakt dan pas de qr. Maar dit kost dus wel een extra handeling.
De echte sp last een deel van je gegevens zien die ze na moeten vragen met je ID, geen idee of de namaak app dat doet.
Deze apps zijn volgens mij open source. Dus iedereen kan een eigen versie van de app maken met een aanpassing die je zelf wilt. Dat is een groot nadeel van open source in dit geval.
Weet ik niet. Een basisprincipe in de cryptografie is dat je algoritme publiek mag/kan/moet zijn, zolang je sleutels maar geheim blijven. Ook hier kun je dat natuurlijk toepassen: door middel van cryptografie en pki de authenticiteit van de scanner-app vaststellen.
QR-check neemt al veel tijd in beslag. Als het nu ook tweezijdig check wordt (met ID ook aan beide kanten? :D ), besteed je 0.5-1 minuut per klant. Dat is onhandig.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True