• IT-Karriere:
  • Services:

Krankenkassen: Vivy-App gibt Daten preis

Sicherheitsforscher haben einige gravierende Lücken in der Krankenkassen-App Vivy gefunden. Unter anderem konnte auf Dokumente, die man mit dem Arzt teilte, unberechtigt zugegriffen werden.

Artikel veröffentlicht am , Hanno Böck
Röntgenaufnahmen können über die Vivy-App mit Ärzten oder anderen Personen geteilt werden - doch auch unbefugte Dritte könnten die Daten abfangen.
Röntgenaufnahmen können über die Vivy-App mit Ärzten oder anderen Personen geteilt werden - doch auch unbefugte Dritte könnten die Daten abfangen. (Bild: Openstax/Wikimedia Commons/CC-BY 4.0)

"Sicherheit auf höchstem Niveau" verspricht Vivy, der Hersteller der gleichnamigen App für Krankenkassen, auf seiner Webseite. Die IT-Sicherheitsfirma Modzero hat sich die App angeschaut - und ist dabei auf einige sehr gravierende Sicherheitsprobleme gestoßen. Besonders problematisch: Dokumente, die ein Nutzer mit einem Arzt teilt, können von Unberechtigten abgerufen werden. Weiterhin verspricht Vivy Ende-zu-Ende-Verschlüsselung, die aber offenbar mit wenig Sachkenntnis implementiert wurde.

Vivy ist eine App, die von insgesamt 18 Krankenkassen ihren Kunden angeboten wird. Beteiligt sind unter anderem die Allianz und die DAK. Mit der App können Patienten Gesundheitsdaten verwalten und mit Ärzten teilen - ein Bereich, in dem man ein besonders hohes Niveau an Datenschutz und Datensicherheit erwarten würde. Vivy wirbt auch damit, dass die App und die dahinterliegende Technik von zahlreichen externen Dienstleistern geprüft wurde.

Bruteforce-Angriff erlaubt Auslesen von Dokumenten

Die Vivy-App bietet eine Funktion, mit der man kurzfristig Dokumente mit einem Arzt teilen kann. Gedacht ist sie beispielsweise für Situationen, in denen ein Patient in der Praxis sitzt und etwas direkt dem Arzt zeigen möchte.

Dabei wurde das Dokument auf der Vivy-Domain unter einer fünfstelligen Kennung abgelegt. Diese Kennung bestand nur aus Kleinbuchstaben. Damit war die Zahl der möglichen Kombinationen relativ begrenzt, insgesamt waren es etwa 11 Millionen mögliche Kennungen. Diese ließen sich nach Schätzung von Modzero innerhalb von weniger als einem Tag alle durchprobieren.

Stellenmarkt
  1. Freie und Hansestadt Hamburg, Behörde für Stadtentwicklung und Wohnen, Hamburg
  2. über duerenhoff GmbH, Raum Ravensburg

Was ein Angreifer nach dem erfolgreichen Erraten einer gültigen Kennung tun konnte, hing davon ab, ob der Arzt das Dokument bereits abgerufen hatte. War das der Fall, wurden nur Metadaten preisgegeben. Zum Abruf der Daten benötigt man eine PIN. Die war jedoch nur vierstellig und konnte ebenfalls durch reines Durchprobieren erraten werden.

Die Antwort des Servers enthielt den vollen Namen, das Geburtsdatum, die E-Mail-Adresse des Patienten sowie Informationen über den behandelnden Arzt und die Krankenversicherung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Vivy akzeptiert beliebigen Schlüssel 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

m9898 01. Nov 2018

Und das beurteilt wer? Könnte sich ein Arzt und halt dann auch ein Apotheker lückenlos...

Bruto 31. Okt 2018

TÜV überprüft ja tatsächlich nicht die Sicherhet eines Produktes, sondern einfach nur ob...

Dieselmeister 31. Okt 2018

Kann ich dir sagen. Das o.g. Problem lässt sich sogar sehr einfach lösen. Man verwendet...

hannob (golem.de) 30. Okt 2018

Ihre Analyse ist im Artikel verlinkt. Die letzten fünf Absätze des Artikels beziehen...

Aluz 30. Okt 2018

Ja stimmt schon, selbst wenn die Pin nicht lang genug ist, jede Bank sperrt den Zugang...


Folgen Sie uns
       


Blackmagic Pocket Cinema Camera 6k im Test

Die neue Pocket Cinema Camera 6k von Blackmagicdesign hat nur wenig mit DSLR-Kameras gemein. Die Kamera liefert Highend-Qualität, erfordert aber entsprechendes Profiwissen - und wir vermissen einige Funktionen.

Blackmagic Pocket Cinema Camera 6k im Test Video aufrufen
Ryzen Mobile 4000 (Renoir): Lasst die Ära der schrottigen AMD-Notebooks enden!
Ryzen Mobile 4000 (Renoir)
Lasst die Ära der schrottigen AMD-Notebooks enden!

Seit vielen Jahren gibt es kaum Premium-Geräte mit AMD-Chips und selbst bei vermeintlich identischer Ausstattung fehlen Eigenschaften wie eine beleuchtete Tastatur oder Thunderbolt 3. Schluss damit!
Ein IMHO von Marc Sauter

  1. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  2. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks
  3. Zen+ AMD verkauft Ryzen 5 1600 mit flotteren CPU-Kernen

Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

Open Power CPU: Open-Source-ISA als letzte Chance
Open Power CPU
Open-Source-ISA als letzte Chance

Die CPU-Architektur Power fristet derzeit ein Nischendasein, wird aber Open Source. Das könnte auch mit Blick auf RISC-V ein notwendiger Befreiungsschlag werden. Dafür muss aber einiges zusammenkommen und sehr viel passen.
Eine Analyse von Sebastian Grüner

  1. Open Source Monitoring-Lösung Sentry wechselt auf proprietäre Lizenz
  2. VPN Wireguard fliegt wegen Spendenaufruf aus Play Store
  3. Picolibc Neue C-Bibliothek für Embedded-Systeme vorgestellt

    •  /