• IT-Karriere:
  • Services:

Vivy wurde von mehreren Sicherheitsfirmen geprüft

Das alles sind schwer zu entschuldigende Fehler - vor allem bei einer App, die so aggressiv mit ihrer Sicherheit wirbt. Laut Vivy hat man die App durch eine ganze Reihe von Sicherheitsfirmen prüfen lassen, darunter ERNW, Blue Frost Security, ePrivacy und der TÜV Rheinland.

Stellenmarkt
  1. Deutscher Genossenschafts-Verlag eG, Wiesbaden
  2. Lebensversicherung von 1871 a. G. München, München

Ein Whitepaper vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) gibt genauer Aufschluss darüber, welche Firma was geprüft hat. Die Backend-Systeme und die Android-App hat demnach die Frankfurter Firma Blue Frost Security geprüft. Ob die Webanwendung, auf die sich die meisten gefundenen Schwachstellen beziehen, hier als Teil des Backends anzusehen ist, wird nicht klar.

Wir hatten Blue Frost um eine Stellungnahme gebeten, von dort wurde uns mitgeteilt, dass man erst prüfen müsse, inwieweit man aufgrund eines bestehenden Non-Disclosure Agreements (NDA) zu den Vorfällen etwas sagen könne.

TÜV-Siegel für Verschlüsselung nach Stand der Technik

Die Verschlüsselung wurde laut dem Whitepaper vom TÜV Rheinland geprüft. "Die Integrität, Authentizität und die Vertraulichkeit von sensiblen Daten ist durch eine verschlüsselte Kommunikation gemäß dem Stand der Technik geschützt", heißt es dort. Es ist schwer nachvollziehbar, wie der TÜV zu dem Schluss kommt, dass eine unauthentifizierte CBC-Verschlüsselung dem Stand der Technik entspricht. Wir haben den TÜV Rheinland um eine Stellungnahme gebeten. Eine Antwort haben wir bisher nicht erhalten.

Vivy hat eine Stellungnahme zu den Funden von Modzero veröffentlicht. Darin gibt sich die Firma redlich Mühe, die gefundenen Sachverhalte herunterzuspielen, bestätigt sie aber in den meisten Fällen auch.

Vivy hält Bruteforce-Szenario für unplausibel

So schreibt Vivy etwa zu Problemen bei der Verschlüsselung: "Aufgrund der Art und Weise, wie die verschlüsselten Daten bei Vivy ausgetauscht werden, würde dieses Angriffsszenario eine unbemerkte Kompromittierung der Vivy-Server selbst voraussetzen." Das ist zwar im Prinzip korrekt, allerdings wirbt Vivy explizit damit, dass die Verschlüsselung auch vor solchen Szenarien schützt. So heißt es beispielsweise auf der Webseite: "Durch die Verschlüsselung wird auch sichergestellt, dass weder Versicherungen noch Vivy ohne die ausdrückliche Freigabe durch den Nutzer auf Daten zugreifen können."

Das Szenario, bei dem ein Angreifer die PIN durch Ausprobieren erraten kann, bevor der Arzt das Dokument abgerufen hat und somit selbst auf das Dokument zugreift, hält Vivy für unplausibel. Begründet wird das damit, dass die App für einen solchen Angriff geöffnet sein muss und nur einmal pro Sekunde eine PIN prüft. Alle PINs durchzuprobieren, würde so knapp drei Stunden dauern, im Schnitt würde man aber schon nach der Hälfte der Versuche die gültige PIN finden.

Weiterhin schreibt Vivy, Modzero habe Schutzmaßnahmen gegen Brute-Force-Angriffe, die auf den Servern vorhanden sind, bei seiner Einschätzung nicht berücksichtigt. Modzero wiederum sagte gegenüber Golem.de, dass es bei seinen Tests nichts von Schutzmaßnahmen bemerkt hätte und die Angriffe auch praktisch durchführbar waren.

Vivy hat nach eigenen Angaben inzwischen die Dokumentenkennung auf acht Zeichen verlängert und weitere Schutzmaßnahmen implementiert. Die CBC-Verschlüsselung wurde zudem durch das authentifizierte GCM-Verfahren ersetzt. Auch die Cross-Site-Scripting-Schwachstellen und andere von Modzero identifizierte Lücken seien inzwischen korrigiert. Nutzer der Vivy-App sollten diese daher auf jeden Fall aktualisieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Vivy akzeptiert beliebigen Schlüssel
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Spiele-Angebote
  1. 8,88€
  2. 25,49€
  3. 17,99€
  4. 10,99€

m9898 01. Nov 2018

Und das beurteilt wer? Könnte sich ein Arzt und halt dann auch ein Apotheker lückenlos...

Bruto 31. Okt 2018

TÜV überprüft ja tatsächlich nicht die Sicherhet eines Produktes, sondern einfach nur ob...

Dieselmeister 31. Okt 2018

Kann ich dir sagen. Das o.g. Problem lässt sich sogar sehr einfach lösen. Man verwendet...

hab (Golem.de) 30. Okt 2018

Ihre Analyse ist im Artikel verlinkt. Die letzten fünf Absätze des Artikels beziehen...

Aluz 30. Okt 2018

Ja stimmt schon, selbst wenn die Pin nicht lang genug ist, jede Bank sperrt den Zugang...


Folgen Sie uns
       


Sony Playstation 5 - Fazit

Im Video zum Test der Playstation 5 zeigt Golem.de die Hardware und das Dashboard der Konsole von Sony.

Sony Playstation 5 - Fazit Video aufrufen
    •  /