De app die de politie en gemeenten aanboden bij grote evenementen, zoals Koningsdag, de wandelvierdaagse en de Gay Pride, is lek, ontdekte een beveiligingsonderzoeker. Het blijkt mogelijk om de locatie van gebruikers te onderscheppen en de inhoud van de app te manipuleren.
De app communiceert onbeveiligd met twee verschillende servers, waarbij de gegevens in platte tekst worden verstuurd, ontdekte Mark Koek van QSec, die de iOS-versie onderzocht. Het gaat om de app die bezoekers van grote evenementen zoals Koningsdag kunnen installeren, waarbij ze met de 'druktemeter' kunnen zien hoe druk het in de stad is. De app werd voor het laatst gebruikt tijdens het Leidens Ontzet, waarbij de stad het einde van het beleg van de Spanjaarden viert.
De applicatie blijkt onder meer onversleuteld de locatie van een gebruiker te versturen als hij de applicatie bedient, ontdekte Koek. Daardoor zou iemand met toegang tot het netwerk de locatie van gebruikers kunnen onderscheppen. Wanneer de app op de achtergrond draait, wordt de locatie ook verstuurd om de drukte van het evenement te kunnen bepalen, maar die datastroom is op iOS wel versleuteld. Hoe dat zit in de Android-versie, heeft Koek niet onderzocht.
Ook haalt de app via een onversleutelde verbinding informatie van een server op, die wordt gebruikt voor het tonen van informatie op de 'actueel'-pagina. Een kwaadwillende zou die pagina dus kunnen manipuleren, al zou hij ook daarvoor toegang tot het netwerk moeten hebben. De gegevens worden bovendien niet rechtstreeks naar de politie gestuurd, maar via een leverancier.
Adrian Proos van de Nationale Politie zegt dat de politie zelf niet verantwoordelijk is voor de inhoud van de app. "De app wordt wel via ons ontwikkelaarsaccount gepubliceerd, maar het zijn de gemeente en de organisatoren van het evenement die verantwoordelijk zijn voor de inhoud van de app", aldus Proos.
De politie zal de app bovendien niet meer gebruiken. "Het was een proefproject, maar het is natuurlijk eigenlijk niet onze core business", aldus Proos. Hij benadrukt verder dat de data die bij de politie binnenkomt geanonimiseerd is en dat wel meer smartphone-apps vatbaar zijn voor een man in the middle-aanval. "Als ik een nieuwsapp op een open wifi-netwerk gebruik, kunnen die pagina's ook worden gemanipuleerd", aldus Proos. Die laatste claim van Proos is niet makkelijk verifieerbaar, maar klinkt voor de hand liggend, omdat veel apps http gebruiken in plaats van het beveiligde https.
Anderhalf jaar geleden kwam de politie-app ook al in opspraak. De druktemeter in de app zou te veel data genereren, waardoor het mobiele netwerk overbelast zou kunnen raken, meldde de NOS destijds. KPN zei zelfs de toegang tot het noodnummer 112 dan niet te kunnen garanderen. Daarop werd de druktemeter bij de kroning van koning Willem-Alexander uit de app gehaald.