• IT-Karriere:
  • Services:

Vivy akzeptiert beliebigen Schlüssel

Problematischer wurde es, wenn der Arzt das Dokument noch nicht abgerufen hat. Dann konnte der Angreifer dem Server einen öffentlichen Schlüssel schicken. Der Server leitete diesen Schlüssel ohne jede Prüfung an den Client weiter, das Dokument wurde damit verschlüsselt. Anschließend konnte das verschlüsselte Dokument heruntergeladen werden. Da der Angreifer selbst den Schlüssel setzen konnte, besaß er auch den passenden privaten Schlüssel.

Stellenmarkt
  1. Mitsubishi Electric Europe B.V., Ratingen
  2. Sparda-Bank Augsburg eG, Augsburg

Das Zeitfenster für einen solchen Angriff ist im Normalfall gering, da es üblicherweise so gedacht ist, dass der Arzt ein geteiltes Dokument direkt abruft. Ein gezielter Angriff wäre daher schwierig. Doch ein Angreifer hätte einfach wahllos nach gültigen Kennungen suchen, wenn möglich Dokumente herunterladen und somit potenziell Kenntnis von privaten Patientendaten erlangen können.

Ein weiteres Problem: Die Kennung für die Dokumente wurde gleich an vier externe Dienstleister weitergeleitet, deren Services in der Vivy-App integriert sind. Diese hätten den Angriff dann sehr schnell durchführen und potenziell auf Dokumente zugreifen können.

Schlüssel auslesen mit Cross-Site-Scripting

Bei der Verschlüsselung gab es bei Vivy eine ganze Reihe von Problemen. Vivy wirbt damit, dass die Daten Ende-zu-Ende-verschlüsselt werden. Theoretisch ist das korrekt, doch bei der Implementierung wurde eine ganze Reihe von Fehlern gemacht und auch fragwürdige Designentscheidungen getroffen.

Auf Seiten des Arztes ist Vivy im Moment als Webanwendung implementiert. Generell ist die Verwendung von Webanwendungen in Kombination mit einer Ende-zu-Ende-Verschlüsselung nicht allzu sinnvoll. Denn eine Ende-zu-Ende-Verschlüsselung soll davor schützen, dass der Betreiber die Daten selbst lesen kann. Doch bei einer Webanwendung kann der Betreiber jederzeit einem bestimmten Nutzer eine veränderte Webseite unterschieben, die dann die Daten unverschlüsselt ausliest.

Ein weiterer Effekt, auf den Modzero hinweist: Wenn ein Angreifer eine Cross-Site-Scripting-Lücke in der Webanwendung findet, kann er den privaten Schlüssel des Arztes einfach auslesen. Das hätte man vermeiden können, wenn man die in modernen Browsern vorhandene Webcrypt-API verwendet; die sieht nämlich nicht extrahierbare Schlüssel vor. Doch darauf hatte Vivy ursprünglich verzichtet.

Modzero fand gleich eine ganze Reihe von Cross-Site-Scripting-Lücken in Vivy. So konnte man in Dokumenten selbst HTML-Code unterbringen, etwa in einer SVG-Datei. Auch Profilfotos von Patienten konnten HTML-Dokumente sein. Und in den Feldern für den Vor- und Nachnamen von Patienten können diese HTML-Code eintragen, der bei der Ausgabe in der Arzt-App nicht gefiltert oder codiert wurde.

Die Verschlüsselung selbst nutzte veraltete Technologien. So wurden die Daten mit dem CBC-Modus verschlüsselt und es kam keinerlei Authentifizierung zum Einsatz. Dieser Modus verschlüsselt Daten zwar, er schützt sie aber nicht vor Manipulation. Diese Schwäche war die Grundlage für den Efail-Angriff, der im Frühjahr Schwachstellen in OpenPGP und S/MIME aufzeigte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Krankenkassen: Vivy-App gibt Daten preisVivy wurde von mehreren Sicherheitsfirmen geprüft 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Top-Angebote
  1. (u. a. LG OLED55B87 55 Zoll OLED Fernseher 1.049,99€)
  2. je 329,00€ statt 429,00€ mit diversen Armbändern

m9898 01. Nov 2018

Und das beurteilt wer? Könnte sich ein Arzt und halt dann auch ein Apotheker lückenlos...

Bruto 31. Okt 2018

TÜV überprüft ja tatsächlich nicht die Sicherhet eines Produktes, sondern einfach nur ob...

Dieselmeister 31. Okt 2018

Kann ich dir sagen. Das o.g. Problem lässt sich sogar sehr einfach lösen. Man verwendet...

hannob (golem.de) 30. Okt 2018

Ihre Analyse ist im Artikel verlinkt. Die letzten fünf Absätze des Artikels beziehen...

Aluz 30. Okt 2018

Ja stimmt schon, selbst wenn die Pin nicht lang genug ist, jede Bank sperrt den Zugang...


Folgen Sie uns
       


Eigene Deep Fakes mit DeepFaceLab - Tutorial

Wir zeigen im Video, wie man mit DeepFaceLab arbeitet.

Eigene Deep Fakes mit DeepFaceLab - Tutorial Video aufrufen
Videospiellokalisierung: Lost in Translation
Videospiellokalisierung
Lost in Translation

Damit Videospiele in möglichst viele Länder verkauft werden können, müssen sie übersetzt beziehungsweise lokalisiert werden. Ein kniffliger Job, denn die Textdatei eines Games hat oft auf den ersten Blick keine logische Struktur - dafür aber Hunderte Seiten.
Von Nadine Emmerich

  1. Spielebranche Entwickler können bis 2023 mit Millionenförderung rechnen
  2. Planet Zoo im Test Tierische Tüftelei
  3. Förderung Spielentwickler sollen 2020 nur einen "Ausgaberest" bekommen

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Disney+ Disney korrigiert falsches Seitenverhältnis bei den Simpsons
  2. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  3. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte

Mi Note 10 im Kamera-Test: Der Herausforderer
Mi Note 10 im Kamera-Test
Der Herausforderer

Im ersten Hands on hat Xiaomis Fünf-Kamera-Smartphone Mi Note 10 bereits einen guten ersten Eindruck gemacht, jetzt ist der Vergleich mit anderen Smartphones dran. Dabei zeigt sich, dass es einen neuen, ernstzunehmenden Konkurrenten unter den besten Smartphone-Kameras gibt.
Von Tobias Költzsch

  1. Mi Note 10 im Hands on Fünf Kameras, die sich lohnen
  2. Xiaomi Neues Redmi Note 8T mit Vierfachkamera kostet 200 Euro
  3. Mi Note 10 Xiaomis neues Smartphone mit 108 Megapixeln kostet 550 Euro

    •  /