Een tweede kwetsbaarheid in de NL-Alert-app maakte het mogelijk om de locatie van gebruikers van de app te achterhalen, bevestigt een woordvoerder van het ministerie van Justitie van Veiligheid vrijdag na berichtgeving van de NOS.

Het lek werkte in combinatie met een unieke code die aan elke gebruiker van de app werd toegewezen. Wie dat nummer kende, kon dit gebruiken om de actuele locatie van de persoon achter de code op te vragen. Op die manier zou iemand de locatie of bewegingen van een persoon in kaart kunnen brengen.

In theorie zou de kwetsbaarheid misbruikt kunnen zijn door bijvoorbeeld een partner of andere kwaadwillende in de buurt van het slachtoffer. De code was namelijk via de app te bekijken en was dus zichtbaar als iemand de ontgrendelde telefoon in handen kreeg.

De kwetsbaarheid is in april gedicht. Bij het ministerie zijn geen meldingen binnengekomen dat het lek daadwerkelijk is misbruikt, aldus de woordvoerder. Komende week moet blijken of het technisch te achterhalen is of misbruik heeft plaatsgevonden.

Tweede melding van kwetsbaarheid in 24 uur

Donderdag maakte minister Ferd Grapperhaus (Justitie) al bekend dat er een lek zat in de NL-Alert-app, waardoor locatiegegevens zonder toestemming bij een derde partij terecht konden komen. De minister adviseert gebruikers van de app om deze te verwijderen.

De NL-Alert-app werd in maart beschikbaar als aanvulling op de reguliere NL-Alert. Die meldingen worden via een technische variant op de sms verstuurd. Met de app konden gebruikers de berichten ook via een pushmelding op basis van hun locatie ontvangen. De app is door zo’n 58.000 mensen gedownload.

Voor zowel Android als iOS is een update beschikbaar gesteld die het donderdag bekendgemaakte lek wegneemt. De NL-Alert-app verstuurt daarmee echter ook geen pushberichten meer, en is dus praktisch nutteloos. De Auditdienst Rijk, een onafhankelijke toehoorder van de overheid, gaat het hele proces rond de NL-Alert-app onderzoeken.

Source