Krankenkassen: Vivy-App gibt Daten preis

Sicherheitsforscher haben einige gravierende Lücken in der Krankenkassen-App Vivy gefunden. Unter anderem konnte auf Dokumente, die man mit dem Arzt teilte, unberechtigt zugegriffen werden.

Artikel veröffentlicht am , Hanno Böck
Röntgenaufnahmen können über die Vivy-App mit Ärzten oder anderen Personen geteilt werden - doch auch unbefugte Dritte könnten die Daten abfangen.
Röntgenaufnahmen können über die Vivy-App mit Ärzten oder anderen Personen geteilt werden - doch auch unbefugte Dritte könnten die Daten abfangen. (Bild: Openstax/Wikimedia Commons/CC-BY 4.0)

"Sicherheit auf höchstem Niveau" verspricht Vivy, der Hersteller der gleichnamigen App für Krankenkassen, auf seiner Webseite. Die IT-Sicherheitsfirma Modzero hat sich die App angeschaut - und ist dabei auf einige sehr gravierende Sicherheitsprobleme gestoßen. Besonders problematisch: Dokumente, die ein Nutzer mit einem Arzt teilt, können von Unberechtigten abgerufen werden. Weiterhin verspricht Vivy Ende-zu-Ende-Verschlüsselung, die aber offenbar mit wenig Sachkenntnis implementiert wurde.

Vivy ist eine App, die von insgesamt 18 Krankenkassen ihren Kunden angeboten wird. Beteiligt sind unter anderem die Allianz und die DAK. Mit der App können Patienten Gesundheitsdaten verwalten und mit Ärzten teilen - ein Bereich, in dem man ein besonders hohes Niveau an Datenschutz und Datensicherheit erwarten würde. Vivy wirbt auch damit, dass die App und die dahinterliegende Technik von zahlreichen externen Dienstleistern geprüft wurde.

Bruteforce-Angriff erlaubt Auslesen von Dokumenten

Die Vivy-App bietet eine Funktion, mit der man kurzfristig Dokumente mit einem Arzt teilen kann. Gedacht ist sie beispielsweise für Situationen, in denen ein Patient in der Praxis sitzt und etwas direkt dem Arzt zeigen möchte.

Dabei wurde das Dokument auf der Vivy-Domain unter einer fünfstelligen Kennung abgelegt. Diese Kennung bestand nur aus Kleinbuchstaben. Damit war die Zahl der möglichen Kombinationen relativ begrenzt, insgesamt waren es etwa 11 Millionen mögliche Kennungen. Diese ließen sich nach Schätzung von Modzero innerhalb von weniger als einem Tag alle durchprobieren.

Was ein Angreifer nach dem erfolgreichen Erraten einer gültigen Kennung tun konnte, hing davon ab, ob der Arzt das Dokument bereits abgerufen hatte. War das der Fall, wurden nur Metadaten preisgegeben. Zum Abruf der Daten benötigt man eine PIN. Die war jedoch nur vierstellig und konnte ebenfalls durch reines Durchprobieren erraten werden.

Die Antwort des Servers enthielt den vollen Namen, das Geburtsdatum, die E-Mail-Adresse des Patienten sowie Informationen über den behandelnden Arzt und die Krankenversicherung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Vivy akzeptiert beliebigen Schlüssel 
  1. 1
  2. 2
  3. 3
  4.  
Verwandte Artikel
artikel-bild
Krankenversicherung
Der Papierkrieg geht weiter
Google will Krankendaten sammeln
artikel-bild
KI
Deepmind-System diagnostiziert Augenkrankheiten
Meistgelesen
artikel-bild
Point-to-Multipoint
Swisscom muss wegen Netztopologie Millionenstrafe zahlen
artikel-bild
Opendesk vom Zendis ausprobiert
Ein Web-Desktop für die Verwaltung
artikel-bild
Bethesda
Das Next-Gen-Update für Fallout 4 ist da
Kommentarübersicht
Re: Was sprach eigentlich gegen die gute Idee...
m9898 01. Nov 2018

Und das beurteilt wer? Könnte sich ein Arzt und halt dann auch ein Apotheker lückenlos...

Re: TÜV
Bruto 31. Okt 2018

TÜV überprüft ja tatsächlich nicht die Sicherhet eines Produktes, sondern einfach nur ob...

Re: 11 Mio. mögliche Kennungen
Dieselmeister 31. Okt 2018

Kann ich dir sagen. Das o.g. Problem lässt sich sogar sehr einfach lösen. Man verwendet...

Re: Wir waren gestern noch in Austausch mit dem Autor
hab (Golem.de) 30. Okt 2018

Ihre Analyse ist im Artikel verlinkt. Die letzten fünf Absätze des Artikels beziehen...

Aktuell auf der Startseite von Golem.de
Sport und Gesundheit
Massive Anwenderkritik am neuen Garmin Connect

Unübersichtlich, zu viele Klicks: Die neue Version von Garmin Connect kommt bei Nutzern auffällig schlecht an.

Sport und Gesundheit: Massive Anwenderkritik am neuen Garmin Connect
Artikel
  1. Opendesk vom Zendis ausprobiert: Ein Web-Desktop für die Verwaltung
    Opendesk vom Zendis ausprobiert
    Ein Web-Desktop für die Verwaltung

    Opendesk soll Open-Source-Software in die Behörden bringen, um sie unabhängiger von einzelnen Herstellern zu machen. Wie sieht diese digitale Souveränität aus?
    Von Markus Feilner

  2. Early Access: Erste Tests loben das Solo-Dev-Aufbauspiel Manor Lords
    Early Access
    Erste Tests loben das Solo-Dev-Aufbauspiel Manor Lords

    Meistgewünschtes Spiel auf Steam, programmiert von einem Entwickler: Das in Süddeutschland angesiedelte Manor Lords kommt in Tests gut an.

  3. iPhone: Kongo beschuldigt Apple der Nutzung von Konfliktmineralien
    iPhone
    Kongo beschuldigt Apple der Nutzung von Konfliktmineralien

    Der Kongo beschuldigt Apple, in seinen Produkten Mineralien zu verwenden, die in den vom Krieg gezeichneten östlichen Regionen des Landes illegal abgebaut werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gigabyte GeForce RTX 4070 Ti zum Tiefstpreis • MediaMarkt: Asus Gaming-Laptop 999€ statt 1.599€ • Anker USB-Ladegeräte -45% • OLED-TV von LG 54% günstiger • Gamesplanet Spring Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /