Onderzoeker: druktemeter-app politie lekt locatiegegevens

De app die de politie en gemeenten aanboden bij grote evenementen, zoals Koningsdag, de wandelvierdaagse en de Gay Pride, is lek, ontdekte een beveiligingsonderzoeker. Het blijkt mogelijk om de locatie van gebruikers te onderscheppen en de inhoud van de app te manipuleren.

De app communiceert onbeveiligd met twee verschillende servers, waarbij de gegevens in platte tekst worden verstuurd, ontdekte Mark Koek van QSec, die de iOS-versie onderzocht. Het gaat om de app die bezoekers van grote evenementen zoals Koningsdag kunnen installeren, waarbij ze met de 'druktemeter' kunnen zien hoe druk het in de stad is. De app werd voor het laatst gebruikt tijdens het Leidens Ontzet, waarbij de stad het einde van het beleg van de Spanjaarden viert.

De applicatie blijkt onder meer onversleuteld de locatie van een gebruiker te versturen als hij de applicatie bedient, ontdekte Koek. Daardoor zou iemand met toegang tot het netwerk de locatie van gebruikers kunnen onderscheppen. Wanneer de app op de achtergrond draait, wordt de locatie ook verstuurd om de drukte van het evenement te kunnen bepalen, maar die datastroom is op iOS wel versleuteld. Hoe dat zit in de Android-versie, heeft Koek niet onderzocht.

Ook haalt de app via een onversleutelde verbinding informatie van een server op, die wordt gebruikt voor het tonen van informatie op de 'actueel'-pagina. Een kwaadwillende zou die pagina dus kunnen manipuleren, al zou hij ook daarvoor toegang tot het netwerk moeten hebben. De gegevens worden bovendien niet rechtstreeks naar de politie gestuurd, maar via een leverancier.

Adrian Proos van de Nationale Politie zegt dat de politie zelf niet verantwoordelijk is voor de inhoud van de app. "De app wordt wel via ons ontwikkelaarsaccount gepubliceerd, maar het zijn de gemeente en de organisatoren van het evenement die verantwoordelijk zijn voor de inhoud van de app", aldus Proos.

De politie zal de app bovendien niet meer gebruiken. "Het was een proefproject, maar het is natuurlijk eigenlijk niet onze core business", aldus Proos. Hij benadrukt verder dat de data die bij de politie binnenkomt geanonimiseerd is en dat wel meer smartphone-apps vatbaar zijn voor een man in the middle-aanval. "Als ik een nieuwsapp op een open wifi-netwerk gebruik, kunnen die pagina's ook worden gemanipuleerd", aldus Proos. Die laatste claim van Proos is niet makkelijk verifieerbaar, maar klinkt voor de hand liggend, omdat veel apps http gebruiken in plaats van het beveiligde https.

Anderhalf jaar geleden kwam de politie-app ook al in opspraak. De druktemeter in de app zou te veel data genereren, waardoor het mobiele netwerk overbelast zou kunnen raken, meldde de NOS destijds. KPN zei zelfs de toegang tot het noodnummer 112 dan niet te kunnen garanderen. Daarop werd de druktemeter bij de kroning van koning Willem-Alexander uit de app gehaald.

Locatie politie-app

IT-banen

Reacties (33)

Myrdhin

9 oktober 2014 21:58

De applicatie blijkt onder meer onversleuteld de locatie van een gebruiker te versturen als hij de applicatie bedient, ontdekte Koek. Daardoor zou iemand met toegang tot het netwerk de locatie van gebruikers kunnen onderscheppen.

Ook haalt de app via een onversleutelde verbinding informatie van een server op, die wordt gebruikt voor het tonen van informatie op de 'actueel'-pagina. Een kwaadwillende zou die pagina dus kunnen manipuleren,al zou hij ook daarvoor toegang tot het netwerk moeten hebbenn.

Weer een onderzoeker die aandacht krijgt voor een "lek" ala "Servers provider X vatbaar voor DoS attack, al moet de aanvaller wel toegang tot de server hebben."

Daarnaast kan je je afvragen of het crypten van deze gegevens echt noodzakelijk is, de gebruiker van die app loopt immers al rond op een bekende locatie. En als de applicatie op de achtergrond blijft draaien dan is het nog niet te achterhalen wie precies zich waar bevindt. Ik snap dat het handiger is om dit gelijk maar via SSL te laten verlopen maar ook dat is weer te onderscheppen als de applicatie vergeet te controleren of het certificaat wel echt het juiste is.

De opmerking over de actueel pagina slaat al helemaal nergens op. Ik kan dan ook wel roepen dat b.v. nu.nl of T.net onveilig is want, als ik toegang heb tot het netwerk, kan ik zomaar nieuwsberichten injecteren. Een verkeerd nieuwsbericht op nu.nl zal meer impact hebben dan paniek zaaien op zo'n evenement. Bij het evenement kan het immers vrij snel de kop ingedrukt worden door de juiste informatie om te roepen, dat gaat bij een site als nu.nl wat lastiger.

Kortom: de boodschap is wel duidelijk, namelijk "maak geen gebruik van onbeveiligde verbinding voor het versturen van informatie van je gebruikers". Maar informatie die vrij beschikbaar is hoeft niet perse encrypted naar de ontvanger verstuurd te worden.

[Reactie gewijzigd door Myrdhin op 27 juli 2024 04:47]

Thystan @Myrdhin • 10 oktober 2014 10:00

Het gaat er niet om of de applicatie weet waar je bent, het gaat erom dat de app vraagt om permissie voor je lokatie gegevens en deze vervolgens onbeveiligd verzend door de lucht. Hij vraagt niet of hij je lokatie mag delen.

Ik geef deze deze app permissie voor het ophalen van mijn lokatie, maar wel onder de voorwaarde dat hij er wel goed mee omgaat. Vervolgens gaat hij mijn lokatie delen met anderen en die permissies heeft hij niet gevraagd.

Uitleg: plain text mijn lokatie versturen is voor mij hetzelde als mijn lokatie delen met anderen.

Ik begrijp wel dat deze app eigenlijk gemaakt is om je lokatie te delen, dus dat het een beetje dubbel is. Maar als commentaar op je laatste statement wil ik zeggen dat ALLE informatie per definitie PER SE encrypted naar de ontvanger verstuurd moet worden

Soggney 9 oktober 2014 16:29

Hoewel zo'n lek onwenselijk is, is het onversleuteld doorsturen van de locatie van de gebruiker op zo'n evenement wel een mindere issue. De persoon in kwestie is toch al op een openbaar evenement.

Orion84 Admin General Chat / Wonen & Mobiliteit @Soggney • 9 oktober 2014 16:54

Dat, en de meest voor de hand liggende man in de the middle is iemand met een rogue wifi hotpsot ter plekke die daarmee toch ook al weet dat de clients in de buurt van die hotspot zijn.

Desalniettemin is het principieel gezien natuurlijk wel weer tamelijk treurig dat er bij een systeem dat toch redelijk gevoelige informatie verwerkt, er weer onvoldoende over de beveiliging is nagedacht.

- peter -

9 oktober 2014 16:28

Ok, weinig aan de hand dus. Alleen dat de locatie zelf zonder HTTPS verstuurd word bij het gebruik van de app zelf. Het versturen van de gewone continue locatiegegevens gaat dus via HTTPS.

Klein schoonheidsfoutje wat mij betreft. Nogal opgeblazen zo, en dat lijkt me ook weer jammer voor de makers ervan.

Steenvoorde 9 oktober 2014 18:22

Ik had de Leids Ontzet app ook vorige week in gebruik, maar in de drukte heb je amper een mobiel signaal, laat staan een werkende internetverbinding. Leuk verzonnen dus, maar totaal onbruikbaar tijdens dit soort evenementen...

RetepV 10 oktober 2014 08:24

Adrian Proos van de Nationale Politie zegt dat de politie zelf niet verantwoordelijk is voor de inhoud van de app. "De app wordt wel via ons ontwikkelaarsaccount gepubliceerd, maar het zijn de gemeente en de organisatoren van het evenement die verantwoordelijk zijn voor de inhoud van de app", aldus Proos.

Als je het publiceert, ben je er verantwoordelijk voor. Zo simpel is het. Tenzij je in de gebruikersovereenkomt stelt dat je niet verantwoordelijk bent, maar dan moet je dat duidelijk aan de gebruiker doorgeven in een privacyverklaring die iedere gebruiker voor zijn neus krijgt, en door iedereen te begrijpen is. Dat staat duidelijk zo in de wet beschreven.

mashell 9 oktober 2014 16:47

Een druktemeter die werkt met een app op de telefoon van de "druktemaker"? Is zoiets niet gedoemd niet gaan werken omdat de meeste "druktemakers" die app niet hebben?

Ircghost @mashell • 9 oktober 2014 17:12

Natuurlijk zal een (over) groot deel van de mensen het niet hebben, maar dat is niet erg zolang je een inschatting hebt van het aantal mensen dat gerepresenteerd wordt door 1 geïnstalleerde applicatie. Bijvoorbeeld voor elk persoon dat de applicatie heeft weten ze dat er ongeveer 90 zijn die het niet hebben..

Enai @Ircghost • 9 oktober 2014 20:50

Ja, maar er zal ongetwijfeld wel enige bias zijn.

Organisatoren zullen eenieder aanraden om de app te installeren, terwijl mensen met geen interesse in manifestaties de app niet installeren.

Gomez12 @Ircghost • 9 oktober 2014 21:31

Natuurlijk zal een (over) groot deel van de mensen het niet hebben, maar dat is niet erg zolang je een inschatting hebt van het aantal mensen dat gerepresenteerd wordt door 1 geïnstalleerde applicatie. Bijvoorbeeld voor elk persoon dat de applicatie heeft weten ze dat er ongeveer 90 zijn die het niet hebben..

Wil je het goed hebben dan gaan het wel erg moeilijke berekeningen worden op een openbaar evenement...

Als er een tienerband optreedt dan zal het wellicht 1 op 10 zijn, terwijl als er een 70's band optreedt het wellicht 1 op 150 zal zijn.

Veel plezier met dat uitzoeken voor een 1-dags evenement...

Ircghost @Gomez12 • 9 oktober 2014 22:52

Ik heb ook nooit gezegd dat het makkelijk is haha. Maar met genoeg studies en ervaring valt er ongetwijfeld wel iets te zeggen

Sorcerer8472 9 oktober 2014 16:53

Echt nuttig, lekker en ontzettend onhandig en onbetrouwbaar mitm data vervalsen op een evenement zodat de politie denkt dat er minder mensen zijn? Ik zie geen enkel nut voor iemand die hier misbruik van kan maken...

Ik zie het nut niet. De data die onderschept wordt, wordt op locatie onderschept, dus de onderschepper weet toch al dat die persoon daar in de buurt is. Verder zijn er nog wel meer manieren om de overheid te voorzien van nutteloze data in deze app dan het via mitm te doen lijkt me?

mgizmo 9 oktober 2014 17:12

En ook nog naar een duitse load balancer (109.239.48.145) toesturen.

ta_chi79 9 oktober 2014 17:14

Verbaas me nog het meest over:

... en dat wel meer smartphone-apps vatbaar zijn voor een man in the middle-aanval

alsof het ineens niet erg meer is als anderen het ook niet netjes doen...

11supplier 9 oktober 2014 16:27

"Het was een proefproject, maar het is natuurlijk eigenlijk niet onze core business"

Je doet een proefproject met het doel het af te breken omdat het niet de core business is?
Of zijn ze er na lang onderzoeken achter gekomen dat het niet core business is? Ik vind het een rare reactie.

Het leek me logisch dat ze met deze app met een bepaald doel willen inzetten. Dan nu afstand nemen vind ik raar. Mij lijkt een reactie van "bedankt, lossen we op / we nemen maatregelen om dit soort slordigheden in de toekomst te voorkomen" passender.

(edit)
Ik zag dat ik wat off-topic/niet gewenst had gekregen, dus getracht mijn reactie beter te onderbouwen/kwaliteit te verhogen.

[Reactie gewijzigd door 11supplier op 27 juli 2024 04:47]

maquis @11supplier • 9 oktober 2014 16:29

Tja, het is de overheid die de app uitgeeft, dus: krijgt het aandacht. Als het alleen een evenementenburo was die de app had uitgebracht, was het niet eens op tweakers gekomen, denk ik. (maar dat is een aanname)

[Reactie gewijzigd door maquis op 27 juli 2024 04:47]

11supplier @maquis • 9 oktober 2014 16:33

De politie zou je ook wel aan een hogere standaard mogen houden dan een evenementenbureau.