Vivy wurde von mehreren Sicherheitsfirmen geprüft

Das alles sind schwer zu entschuldigende Fehler - vor allem bei einer App, die so aggressiv mit ihrer Sicherheit wirbt. Laut Vivy hat man die App durch eine ganze Reihe von Sicherheitsfirmen prüfen lassen, darunter ERNW, Blue Frost Security, ePrivacy und der TÜV Rheinland.

Stellenmarkt
  1. Space Application Test-System Entwickler (m/f/d)
    Astos Solutions GmbH, Stuttgart
  2. Systemadministrator - Linux (m/w/d)
    etailer Solutions GmbH, Olpe
Detailsuche

Ein Whitepaper vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) gibt genauer Aufschluss darüber, welche Firma was geprüft hat. Die Backend-Systeme und die Android-App hat demnach die Frankfurter Firma Blue Frost Security geprüft. Ob die Webanwendung, auf die sich die meisten gefundenen Schwachstellen beziehen, hier als Teil des Backends anzusehen ist, wird nicht klar.

Wir hatten Blue Frost um eine Stellungnahme gebeten, von dort wurde uns mitgeteilt, dass man erst prüfen müsse, inwieweit man aufgrund eines bestehenden Non-Disclosure Agreements (NDA) zu den Vorfällen etwas sagen könne.

TÜV-Siegel für Verschlüsselung nach Stand der Technik

Die Verschlüsselung wurde laut dem Whitepaper vom TÜV Rheinland geprüft. "Die Integrität, Authentizität und die Vertraulichkeit von sensiblen Daten ist durch eine verschlüsselte Kommunikation gemäß dem Stand der Technik geschützt", heißt es dort. Es ist schwer nachvollziehbar, wie der TÜV zu dem Schluss kommt, dass eine unauthentifizierte CBC-Verschlüsselung dem Stand der Technik entspricht. Wir haben den TÜV Rheinland um eine Stellungnahme gebeten. Eine Antwort haben wir bisher nicht erhalten.

Golem Akademie
  1. Netzwerktechnik Kompaktkurs
    8.-12. November 2021, online
  2. Mobile Device Management mit Microsoft Intune
    22.-23. November 2021, online
  3. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
Weitere IT-Trainings

Vivy hat eine Stellungnahme zu den Funden von Modzero veröffentlicht. Darin gibt sich die Firma redlich Mühe, die gefundenen Sachverhalte herunterzuspielen, bestätigt sie aber in den meisten Fällen auch.

Vivy hält Bruteforce-Szenario für unplausibel

So schreibt Vivy etwa zu Problemen bei der Verschlüsselung: "Aufgrund der Art und Weise, wie die verschlüsselten Daten bei Vivy ausgetauscht werden, würde dieses Angriffsszenario eine unbemerkte Kompromittierung der Vivy-Server selbst voraussetzen." Das ist zwar im Prinzip korrekt, allerdings wirbt Vivy explizit damit, dass die Verschlüsselung auch vor solchen Szenarien schützt. So heißt es beispielsweise auf der Webseite: "Durch die Verschlüsselung wird auch sichergestellt, dass weder Versicherungen noch Vivy ohne die ausdrückliche Freigabe durch den Nutzer auf Daten zugreifen können."

Das Szenario, bei dem ein Angreifer die PIN durch Ausprobieren erraten kann, bevor der Arzt das Dokument abgerufen hat und somit selbst auf das Dokument zugreift, hält Vivy für unplausibel. Begründet wird das damit, dass die App für einen solchen Angriff geöffnet sein muss und nur einmal pro Sekunde eine PIN prüft. Alle PINs durchzuprobieren, würde so knapp drei Stunden dauern, im Schnitt würde man aber schon nach der Hälfte der Versuche die gültige PIN finden.

Weiterhin schreibt Vivy, Modzero habe Schutzmaßnahmen gegen Brute-Force-Angriffe, die auf den Servern vorhanden sind, bei seiner Einschätzung nicht berücksichtigt. Modzero wiederum sagte gegenüber Golem.de, dass es bei seinen Tests nichts von Schutzmaßnahmen bemerkt hätte und die Angriffe auch praktisch durchführbar waren.

Vivy hat nach eigenen Angaben inzwischen die Dokumentenkennung auf acht Zeichen verlängert und weitere Schutzmaßnahmen implementiert. Die CBC-Verschlüsselung wurde zudem durch das authentifizierte GCM-Verfahren ersetzt. Auch die Cross-Site-Scripting-Schwachstellen und andere von Modzero identifizierte Lücken seien inzwischen korrigiert. Nutzer der Vivy-App sollten diese daher auf jeden Fall aktualisieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Vivy akzeptiert beliebigen Schlüssel
  1.  
  2. 1
  3. 2
  4. 3


m9898 01. Nov 2018

Und das beurteilt wer? Könnte sich ein Arzt und halt dann auch ein Apotheker lückenlos...

Bruto 31. Okt 2018

TÜV überprüft ja tatsächlich nicht die Sicherhet eines Produktes, sondern einfach nur ob...

Dieselmeister 31. Okt 2018

Kann ich dir sagen. Das o.g. Problem lässt sich sogar sehr einfach lösen. Man verwendet...

hab (Golem.de) 30. Okt 2018

Ihre Analyse ist im Artikel verlinkt. Die letzten fünf Absätze des Artikels beziehen...

Aluz 30. Okt 2018

Ja stimmt schon, selbst wenn die Pin nicht lang genug ist, jede Bank sperrt den Zugang...



Aktuell auf der Startseite von Golem.de
Drucker
Ohne Tinte kein Scan - Klage gegen Canon

In den USA wurde eine Sammelklage gegen Canon eingereicht: Klagegrund ist, dass einige 3-in-1-Geräte nur scannen, wenn Tinte vorhanden ist.

Drucker: Ohne Tinte kein Scan - Klage gegen Canon
Artikel
  1. Microsoft: Xbox-Kühlschrank kostet 100 Euro
    Microsoft
    Xbox-Kühlschrank kostet 100 Euro

    Microsoft bringt wie angekündigt einen Minikühlschrank im Design der Xbox Series X auf den Markt, der auch nach Deutschland kommen wird.

  2. Silicon Valley: Apple entlässt #Appletoo-Aktivistin
    Silicon Valley
    Apple entlässt #Appletoo-Aktivistin

    Apple hat Janneke Parrish gekündigt, die sich für die Offenlegung von Diskriminierung in dem Unternehmen einsetzte. Auch Netflix entlässt offenbar eine Aktivistin.

  3. Streaming: Squid Game soll Netflix 900 Millionen US-Dollar bringen
    Streaming
    Squid Game soll Netflix 900 Millionen US-Dollar bringen

    Die südkoreanische Serie Squid Game ist dabei, sich zu Netflix' größtem Erfolg zu entwickeln: Die Survival-Serie bricht mehrere Rekorde.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 37% Rabatt auf Corsair-Produkte • Mehrwertsteuer-Aktion bei MediaMarkt • Crucial BX500 1 TB 69€ • Aerocool Aero One White 41,98€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /