Abo
  • Services:

Krankenkassen: Vivy-App gibt Daten preis

Sicherheitsforscher haben einige gravierende Lücken in der Krankenkassen-App Vivy gefunden. Unter anderem konnte auf Dokumente, die man mit dem Arzt teilte, unberechtigt zugegriffen werden.

Artikel veröffentlicht am , Hanno Böck
Röntgenaufnahmen können über die Vivy-App mit Ärzten oder anderen Personen geteilt werden - doch auch unbefugte Dritte könnten die Daten abfangen.
Röntgenaufnahmen können über die Vivy-App mit Ärzten oder anderen Personen geteilt werden - doch auch unbefugte Dritte könnten die Daten abfangen. (Bild: Openstax/Wikimedia Commons/CC-BY 4.0)

"Sicherheit auf höchstem Niveau" verspricht Vivy, der Hersteller der gleichnamigen App für Krankenkassen, auf seiner Webseite. Die IT-Sicherheitsfirma Modzero hat sich die App angeschaut - und ist dabei auf einige sehr gravierende Sicherheitsprobleme gestoßen. Besonders problematisch: Dokumente, die ein Nutzer mit einem Arzt teilt, können von Unberechtigten abgerufen werden. Weiterhin verspricht Vivy Ende-zu-Ende-Verschlüsselung, die aber offenbar mit wenig Sachkenntnis implementiert wurde.

Vivy ist eine App, die von insgesamt 18 Krankenkassen ihren Kunden angeboten wird. Beteiligt sind unter anderem die Allianz und die DAK. Mit der App können Patienten Gesundheitsdaten verwalten und mit Ärzten teilen - ein Bereich, in dem man ein besonders hohes Niveau an Datenschutz und Datensicherheit erwarten würde. Vivy wirbt auch damit, dass die App und die dahinterliegende Technik von zahlreichen externen Dienstleistern geprüft wurde.

Bruteforce-Angriff erlaubt Auslesen von Dokumenten

Die Vivy-App bietet eine Funktion, mit der man kurzfristig Dokumente mit einem Arzt teilen kann. Gedacht ist sie beispielsweise für Situationen, in denen ein Patient in der Praxis sitzt und etwas direkt dem Arzt zeigen möchte.

Dabei wurde das Dokument auf der Vivy-Domain unter einer fünfstelligen Kennung abgelegt. Diese Kennung bestand nur aus Kleinbuchstaben. Damit war die Zahl der möglichen Kombinationen relativ begrenzt, insgesamt waren es etwa 11 Millionen mögliche Kennungen. Diese ließen sich nach Schätzung von Modzero innerhalb von weniger als einem Tag alle durchprobieren.

Stellenmarkt
  1. E. M. Group Holding AG, Wertingen, München
  2. Grand City Property, Berlin

Was ein Angreifer nach dem erfolgreichen Erraten einer gültigen Kennung tun konnte, hing davon ab, ob der Arzt das Dokument bereits abgerufen hatte. War das der Fall, wurden nur Metadaten preisgegeben. Zum Abruf der Daten benötigt man eine PIN. Die war jedoch nur vierstellig und konnte ebenfalls durch reines Durchprobieren erraten werden.

Die Antwort des Servers enthielt den vollen Namen, das Geburtsdatum, die E-Mail-Adresse des Patienten sowie Informationen über den behandelnden Arzt und die Krankenversicherung.

Vivy akzeptiert beliebigen Schlüssel 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. (-10%) 35,99€
  2. 30,99€
  3. 23,95€
  4. (verbleibt danach dauerhaft im Account)

m9898 01. Nov 2018 / Themenstart

Und das beurteilt wer? Könnte sich ein Arzt und halt dann auch ein Apotheker lückenlos...

Bruto 31. Okt 2018 / Themenstart

TÜV überprüft ja tatsächlich nicht die Sicherhet eines Produktes, sondern einfach nur ob...

Dieselmeister 31. Okt 2018 / Themenstart

Kann ich dir sagen. Das o.g. Problem lässt sich sogar sehr einfach lösen. Man verwendet...

hannob (golem.de) 30. Okt 2018 / Themenstart

Ihre Analyse ist im Artikel verlinkt. Die letzten fünf Absätze des Artikels beziehen...

Aluz 30. Okt 2018 / Themenstart

Ja stimmt schon, selbst wenn die Pin nicht lang genug ist, jede Bank sperrt den Zugang...

Kommentieren


Folgen Sie uns
       


Tolino Shine 3 - Hands on

Der Shine 3 ist der neue E-Book-Reader der Tolino-Allianz. Das neue Modell bietet einen kapazitiven Touchscreen und erhält die Möglichkeit, die Farbtemperatur des Displaylichts zu verändern. Der Shine 3 ist für 120 Euro verfügbar.

Tolino Shine 3 - Hands on Video aufrufen
Mobile-Games-Auslese: Tinder auf dem Eisernen Thron - für unterwegs
Mobile-Games-Auslese
Tinder auf dem Eisernen Thron - für unterwegs

Fantasy-Fanservice mit dem gelungenen Reigns - Game of Thrones, Musikpuzzles in Eloh und Gehirnjogging in Euclidean Skies: Die neuen Mobile Games für iOS und Android bieten Spaß für jeden Geschmack.
Von Rainer Sigl

  1. Mobile Gaming Microsoft Research stellt Gamepads für das Smartphone vor
  2. Mobile-Games-Auslese Bezahlbare Drachen und dicke Bären
  3. Mobile-Games-Auslese Städtebau und Lebenssimulation für unterwegs

Wet Dreams Don't Dry im Test: Leisure Suit Larry im Land der Hipster
Wet Dreams Don't Dry im Test
Leisure Suit Larry im Land der Hipster

Der Möchtegernfrauenheld Larry Laffer kommt zurück aus der Gruft: In einem neuen Adventure namens Wet Dreams Don't Dry reist er direkt aus den 80ern ins Jahr 2018 - und landet in der Welt von Smartphone und Tinder.
Ein Test von Peter Steinlechner

  1. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller
  2. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Battlefield 5 im Test: Klasse Kämpfe unter Freunden
Battlefield 5 im Test
Klasse Kämpfe unter Freunden

Umgebungen und Szenario erinnern an frühere Serienteile, das Sammeln von Ausrüstung motiviert langfristig, viele Gebiete sind zerstörbar: Battlefield 5 setzt auf Multiplayermatches für erfahrene Squads. Wer lange genug kämpft, findet schon vor der Erweiterung Firestorm ein bisschen Battle Royale.

  1. Dice Raytracing-Systemanforderungen für Battlefield 5 erschienen
  2. Dice Zusatzinhalte für Battlefield 5 vorgestellt
  3. Battle Royale Battlefield 5 schickt 64 Spieler in Feuerring

    •  /