Onze security researchers én ethical hackers Thijs Alkemade en Daan Keuper hebben een paar maanden geleden de beveiliging van de CoronaCheck-app onder de loep genomen. Zij vonden hierbij een aantal interessante kwetsbaarheden.
Omdat het in korte tijd een van de meest gebruikte apps is geworden, besloten Daan en Thijs de CoronaCheck-app voor iOS te onderzoeken. Al snel werden er meerdere kwetsbaarheden gevonden die te maken hebben met het valideren van certificaten. De CoronaCheck-app heeft een eigen logica ingebouwd voor het valideren van certificaten voor het opzetten van een versleutelde verbinding. Deze controles waren echter onvolledig waardoor de validate door onze hackers te omzeilen was.
Kwetsbaarheden geen directe impact
Toch hadden deze gevonden kwetsbaarheden in de CoronaCheck-app geen directe impact op de gebruikers. Dit betekent dat dat de gegevens van gebruikers van de app niet misbruikt konden worden. Apple heeft namelijk standaard extra beveiligingsmaatregelen in zijn besturingssysteem toegevoegd, waardoor de kwetsbaarheid werd ondervangen door iOS.
Daan en Thijs hebben middels responsible disclosure een melding gemaakt. In juli 2021 zijn de ontwikkelaars op de hoogte gebracht van de gevonden kwetsbaarheden. In oktober 2021 bleken niet alle aanbevelingen volledig te zijn opgevolgd. Inmiddels zijn alle aanbevelingen opgevolgd en de kwetsbaarheden opgelost.
Technische details
Benieuwd naar de technische details van dit security onderzoek, hoe Apple ontwikkelaars hiertegen probeert te beschermen en het disclosure process?
- Lees de write up 'CoronaCheck App TLS certificate vulnerabilities' van onze researchers.
Sector 7 - onderzoeksafdeling van Computest Security
Het onderzoek naar de kwetsbaarheden in de CoronaCheck-app is gedaan in ons Security Research Lab. Op de bovenste verdieping van Computest HQ werken opperhackers van Sector 7, de onderzoeksafdeling van Computest Security, in dit lab aan de meest gevoelige en gecompliceerde cyber research opdrachten.
Meer informatie over de onderzoeken en gevonden kwetsbaarheden in onder andere Zoom, Volkswagen en Proctorio: https://sector7.computest.nl/