Het coronapaspoort moet binnenkort binnen Europa weer het vrije verkeer van personen mogelijk maken. Dit Digitale Certificaat wordt vanaf 1 juli officieel geïntroduceerd en vanaf vandaag geïntegreerd in de CoronaCheck-app. Met deze app wordt de qr-code nog breder in de samenleving gebruikt. Dat is in principe geen probleem, maar vereist wel onze aandacht.
Na de invoering van het coronapaspoort zou iedereen op Schiphol naast zijn paspoort ook zijn smartphone met deze app moeten laten zien om aan te tonen dat hij of zij gevaccineerd, onlangs getest of immuun voor het virus is. De uitgifte van de certificaten is in zeven landen alvast begonnen: Bulgarije, Tsjechië, Denemarken, Duitsland, Griekenland, Kroatië en Polen. De app laat een qr-code zien die toegang geeft tot de benodigde informatie uit het medisch dossier van elke Europese burger.
Nederland wacht tot vandaag (23 juni) met het verspreiden van de certificaten. Dit heeft ook nadelen, met name voor Nederlandse burgers die voor die datum op vakantie willen. Zij zullen het gele vaccinatieboekje moeten gebruiken, of zich houden aan de groene, gele en rode risicogebieden en de bijbehorende verplichtingen voor pcr-tests en quarantaines.
Privacyrisico’s
Dat het coronapaspoort gaat komen, is duidelijk. Dat neemt niet weg dat er nog wel veel discussie en onduidelijkheid bestaat. Vooralsnog wordt het gepresenteerd als een niet-verplicht document, dat moet worden getoond bij reizen, het bijwonen van belangrijke evenementen of voor het betreden van een openbare plaats. De vraag is welke praktische beperkingen dit oplevert voor personen die het coronapaspoort weigeren te gebruiken.
Daarnaast is de gekozen techniek een punt van aandacht. Het scannen van de qr-code maakt het weliswaar gemakkelijk om snel te controleren of de houder van het certificaat tegen Covid-19 is ingeënt, en geeft daarnaast ook informatie over de herkomst van het vaccin, of de persoon reeds drager van het virus is geweest en of hij of zij antilichamen heeft. Deze persoonlijke informatie kan in principe op een vrij eenvoudige manier gestolen worden door kwaadwillenden. Qr-codes zijn immers met vrijwel elke camera uit te lezen, wat vele malen eenvoudiger is dan de techniek achter het skimmen van bankpassen.
Hacken via qr-codes
Sinds het begin van de coronapandemie hebben allerlei sectoren, van de detailhandel tot gezondheidszorg, geprofiteerd van de voordelen van de qr-code. Daarbij zijn ze vaak vergeten aan welke gevaren ze de gebruikers, maar ook hun eigen systemen mogelijk blootstellen. Veel overheden en bedrijven zien de qr-code als een snelle en eenvoudige manier om personen te koppelen aan websites, promotiecampagnes, winkelkortingen, medische dossiers en mobiele betalingen.
Het hacken van systemen via qr-codes vereist nog de nodige skills, maar ligt binnen het bereik van vaardige hackers. Daarnaast zijn qr-codes in te zetten als vehikel om gebruikers te besmetten met malware, bijvoorbeeld door een qr-code onder valse voorwendselen (‘Gratis wifi!’) op een publieke plek achter te laten. Hackers maken actief gebruik van deze mogelijkheid, en ze proberen daarmee op allerlei manieren geld en persoonlijke gegevens van hun slachtoffers te stelen.
Risico’s voor bedrijven
Het mag duidelijk zijn: de invoering van het coronapaspoort zal leiden tot een nog massaler gebruik van qr-codes. Indirect lopen ook bedrijven gevaar door de explosieve groei van thuiswerken en het bring-your-own-device-beleid. Lang niet elk bedrijf heeft immers mobile device management (mdm)-software in gebruik om zowel zakelijke als persoonlijke devices van werknemers te beschermen.
Voor de gemiddelde gebruiker zien alle qr-codes er hetzelfde uit. In de haast van het dagelijks leven kan iedereen gemakkelijk in de val lopen op het moment dat de vraag komt om een qr-code te scannen, om vervolgens te worden omgeleid naar een valse website die vraagt om persoonlijke gegevens of die kwaadaardige software downloadt.
Er is dus alles aan gelegen om in de eerste plaats de bewustwording van de risico’s van qr-codes te vergroten. Gebruikers moeten voor het openen van de link achter elke qr-code altijd zeker zijn dat de gebruikte qr-code legitiem is, en bijvoorbeeld niet zomaar afgekorte bit.ly-links accepteren. In de tweede plaats moeten bedrijven de beveiliging van mobiele devices verbeteren om hun gebruikers beter te beschermen tegen phishing, ransomware, datalekken en identiteitsdiefstal. Door enkel aanvallen en downloads van kwaadaardige toepassingen te blokkeren, is de gegevensbeveiliging van een organisatie al aanzienlijk te verbeteren.
En voor burgers die geen waakzame werkgever of de mogelijkheid hebben om hun mobiele device extra beschermen? Die zijn voorlopig aan de heidenen overgeleverd.
De auteur raakt een aantal valide punten wat betreft de leesbaarheid van de QR code. Inderdaad, elk apparaat dat in staat is om de QR code te vertalen naar de onderliggende gegevens (vaak een URL, maar het kan ook simpelweg platte tekst zijn) kan de gegevens lezen.
Dan wordt echter een sprong gemaakt naar de stelling dat met deze code ook meteen de gegevens op de URL kan worden gelezen; met de opmerking dat een handige hacker dit wel snel zou kunnen. Om meteen aan te geven dat banksystemen vele malen veiliger zijn.
Het beschrevene is echter niet meer een probleem dat is veroorzaakt door de QR code, de QR code is niet meer dan een manier om een tekst weer te geven en soms is die tekst een URL. Het is een probleem dat (als het al bestaat) veroorzaakt zou zijn door een verkeerd ontwerp danwel de verkeerde uitvoering van het ontwerp. Een goed ontworpen systeem zou namelijk alleen aan daartoe geautoriseerde apparaten (denk aan certificaten of andere authenticatiemethodes) toegang geven tot het systeem.
Ook gaat de auteur er vanuit dat met het benaderen van de URL ook alle gegevens (al dan niet in een leesbare vorm) worden getoond of op te halen zijn. Dat is niet onmogelijk, maar zou in mijn ogen een fout ontwerp zijn (of fout uitgevoerd ontwerp). Bij de poort van een festival of andere gelegenheid hoeft de aanvrager van de gegevens feitelijk niet meer dan een binair antwoord dienen te krijgen: toelaten of niet. Daarvoor zijn geen hele boekdelen met naw-gegevens of andere gegevens nodig.
Daarna wordt het nog gekker als de auteur suggereert dat de corona-app de poort heeft opengezet tot nog meer QR code gebruik, en wordt en-passant ook thuiswerken en bring-your-own-device erbij gehaald. Totaal ongerelateerde onderwerpen als je het over de QR code hebt. Interessant voor beveiliging van bedrijfsgegevens etc. maar niet relevant in de QR code discussie.
Ja, we dienen als IT branch de mensen duidelijk te maken dat ze niet zomaar elke QR code moeten scannen om te zien wat er gebeurt. Maar dat verschilt feitelijk niet zoveel met het opvoeden in het klakkeloos gebruiken van openbare wifi-netwerken of het zonder nadenken accepteren van cookies of algemene voorwaarden.
Maar laten we de discussie danwel het relaas wel zuiver houden: de QR code is een implementatie van een manier om een tekst weer te geven. Niet meer dan dat. De QR code is een symptoom, maar het is niet meteen het teken voor een onderliggende ziekte.
De titel kent een dubbele bodem, de hoop op verlossing voor eerder uit nieuwsgierigheid ontsnapte rampspoed vraagt vanuit de Griekse mythologie om argwaan.
En nog een aanvulling op de Covid QR code:
Ik heb gelezen (maar nog niet zelf kunnen vaststellen) dat de QR code regelmatig verspringt waardoor deze alleen geldig is tijdens die periode.
Hiermee wordt de informatie achter de URL van de QR code gebruikt op een veilige manier getoond: aangenomen dat de informatie-pagina wordt aangemaakt op het moment dat deze in de app wordt aangevraagd. Na verloop van tijd wijzigt de URL, en is de oude URL wel bruikbaar maar zal slechts een ‘page not found’ o.i.d. tonen.
Kortom: de QR code is niets meer of minder dan een stuk tekst met een URL. De implementatie lijkt in mijn ogen (nogmaals: moet nog wel ‘even’ worden bewezen) acceptabel om te gaan met het risico van uitlekken van informatie.
@cpt
Als mensen snake in een r code kunnen later executeren kunnen ze een bult waar wij niks van afweten hoor.
https://hackaday.com/2020/08/17/fitting-snake-into-a-qr-code/