Foto: ANP
Dat blijkt uit onderzoek van beveiligingsbedrijf Securify, dat meerdere lekken binnen de Android-app aan NU.nl heeft doorgespeeld. Het bedrijf publiceert de technische details zodra het lek is gedicht.
Eerder waarschuwde het ministerie van Buitenlandse Zaken dat het hacken van de app “geen zin” zou hebben. Er zou geen geheime informatie in de app zitten, maar de app vervangt tijdens de nucleaire top wel al het papier.
Volgens Securify is het niet van belang dat de app geen belangrijke informatie bevat. De Android-app, die in Google Play te vinden is onder de naam NSS 2014, maakt gebruik van niet-versleutelde en daarmee onveilige interne verbindingen.
Ook beschikt de app over een ssl-validatie-lek waardoor ssl-certificaten niet juist worden gecontroleerd. Een geldig ssl-certificaat identificeert een verbinding of website als betrouwbaar.
Door de niet-versleutelde verbindingen en het ssl-validatie-lek is het voor kwaadwillenden mogelijk om de smartphone over te nemen en via de app malware op de smartphone te plaatsen.
Wifi
“Om de aanval uit te voeren moet er gebruik worden gemaakt van een wifi-verbinding. De omgevingen waar diplomaten zich zullen bevinden, zoals conferenties, luchthavens en hotels, zijn uitermate geschikt voor een dergelijke aanval”, aldus Han Sahin van Securify.
Securify heeft zowel het ministerie van Buitenlandse Zaken als app-ontwikkelaar Imgzine op de hoogte gesteld van de lekken.
De app is donderdagochtend van een update voorzien waardoor het ssl-validatie-lek is opgelost, maar volgens Securify werkt de app nog steeds met interne niet-versleutelde http-verbindingingen. “En daar is er maar één voor nodig om toegang te krijgen tot bijvoorbeeld de externe sd-kaart, waar mogelijk vertrouwelijke informatie wordt opgeslagen”, zegt Sahin.
Nieuw lek
Een woordvoerder van het ministerie van Buitenlandse Zaken bevestigt tegenover NU.nl op de hoogte te zijn van zowel het oude als nieuwe lek, en zegt te werken aan een oplossing. ”Eerst moet de iOS-versie worden geüpdatet. Als dit is gebeurd, kunnen we een nieuw beveiligd systeem invoeren dat ook direct met Android werkt”, aldus de woordvoerder.
Een lek binnen de iOS-app wordt door Securify ook niet uitgesloten.
App-ontwikkelaar Imgzine zei eerder dat de beide apps wel zijn beveiligd, maar hoe willen zowel het bedrijf als het ministerie om veiligheidsredenen niet specifiek zeggen. In het verleden zou er bij verschillende toppen waar wereldleiders bij elkaar kwamen al digitaal zijn gespioneerd.
De app gebruikt een lager beveiligingsniveau omdat het ministerie van Buitenlandse Zaken wilde dat de app voor alle delegatieleden en journalisten beschikbaar zou zijn, ongeacht de Android-versie.
Nucleaire top
Met 53 deelnemende landen en vier internationale organisaties, vijfduizend delegatieleden en drieduizend journalisten wordt de top in Den Haag de grootste internationale conferentie die Nederland ooit heeft georganiseerd.
De NSS-top in Den Haag is de derde in een reeks die is ingezet door president Obama. In 2010 vond de eerste top plaats in Washington. Hier werden door de betrokken landen afspraken gemaakt over hoe de hoeveelheid nucleair materiaal kan worden teruggebracht en hoe het beter beveiligd kan worden, waardoor de kans op een nucleaire aanslag wordt gereduceerd.