iphone-ticker.de — Alles zum iPhone. Seit 2007. 37 573 Artikel

MDR-Recherche

Sicherheitslücke in AOK-Bonus-App: Passwörter im Klartext

Artikel auf Mastodon teilen.
23 Kommentare 23

Das MDR Reportage-Magazin Exakt hat sich in seiner aktuellen Ausgabe mit der mobilen Bonus-App der AOK auseinandergesetzt und übt Kritik am digitalen Zusatz-Angebot des Versicherers.

Mdr Screenshot

Neben grundsätzlichen Bedenken, was die Datensicherheit von Krankenkassen-Apps angeht, haben die Redakteure eine ganz spezifische Schwachstelle in der AOK-App aufgespürt: Statt auf „best practice“-Lösungen der Branche zu setzen, hat das IT-Team der AOK die Nutzerkennwörter ihrer Anwender unverschlüsselt von der App übertragen lassen.

Mit den Passwörtern wird der Zugriff auf persönliche Daten bei der AOK Plus möglich, wie z.B. Bankverbindungen, Arztrechnungen oder Angaben zur Rentenversicherung. Allein in Sachsen und Thüringen nutzen rund 65.000 Versicherte die „AOK Bonus-App“. […] Die Krankenkasse teilte dem MDR mit: „Danke, dass Sie uns mit Ihrer Recherche auf eine bislang unentdeckte ‚Schwachstelle‘ in unserer Bonus-App hingewiesen haben und uns damit die Chance eröffnen, diese zu verbessern.“

Laden im App Store
‎AOK Bonus-App
‎AOK Bonus-App
Entwickler: AOK Bundesverband
Preis: Kostenlos
Laden

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
15. Okt 2018 um 11:30 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    23 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Sofort dicht machen.
    Sowas lernt man doch in den ersten Tagen.

  • Im Jahr 2018 von unentdeckten Schwachstellen reden und Passwörter fahrlässig im Klartext übertragen und speichern.

    DSGVO Strafe lässt grüßen.

    • Mein Arbeitskollege (wir beide arbeiten in der IT als Softwareentwickler) wusste bis vor wenigen Jahren noch nicht einmal was ein Hash-Algorithmus ist. Er ist übrigens befördert worden, ich nicht. Das Peter-Prinzip lässt grüßen.

      • Kenne ich.. er konnte sich dann scheinbar besser verkaufen oder schleimt auch rum..
        Mit auch schon passiert.. ätzend.. ich arbeite mittlerweile wo anders ;-)

      • Dann habt ihr entweder in der Ausbildung /Studium gepennt oder ihr hattet keine.
        So etwas IST ELEMENTAR.
        Und sehr bezeichnend und zugleich beschämend.

      • Wissen ist nicht alles! Soziale Kompetenz und Führungsstil sind oben wichtiger als geballtes Fachwissen. Wissen müssen die die man führt, und der der führt muss wissen was sie wissen;)

      • @helper: Zum Glück musst du mich nicht mit ihm in einen Topf werfen. Eigentlich wollte ich mit meinem Beispiel auch nur unterstreichen, warum mich solche Meldungen wie diese hier nicht unbedingt überraschen.

      • Der Herr Absolution hat es verstanden – so ist das leider

      • Das Verb „führen“ finde ich in dem Zusammenhang nicht mehr zeitgemäß.
        Auch wenn von Führungskraft, Fühungsstärke und derlei die Rede ist, so bereitet mir dies Unbehagen. Zumal es auch immer etwas mit oben und unten zu tun.

      • Auweia, die Sprachpolizei ist auch schon da.

  • Das Video ist leider nicht mehr verfügbar, gibt das auch in der ARD Videothek?

  • So viel zur Mär, dass Apps im Store generell sicher seien.
    Apple nervt die Entwickler mit restriktiven Vorgaben (teils auch berechtigt), aber so etwas fällt ihnen nicht auf,. Und das ist nicht das erste Mal. Mir scheint, einzig ihr Sandboxing ist für sie relevant.
    Ich empfehle, mal das Programm Charles Proxy zu installieren, erstaunlich, was manche Apps im Hintergrund so alles treiben.

  • Es müsste eher heißen: …das „IT-Team“ der AOK…
    Jedes IT-Unternehmen weiß doch inziwschen das man Passwörter nicht im Klartext abspeichert oder überträgt.

    Von daher kann man nur eins der AOK empfehlen. Vertrag kündigen und neuen IT Dienstleister suchen!!

    • …und jeder der eine Schule in Deutschland besucht hat weiß doch, dass man „das“ manchmal mit zwei „s“ schreiben muss ;)

      – Klugscheißer

      • „Manchmal“ ist abernicht richtig denn es folgt doch gewissen regeln. Danke für dein Tipp aber es bringt mir jetzt nun herzlich wenig da leider keine Bearbeitung hier zulässig ist. Von daher tut es mir nicht leid für euch Grammatik-Naz.is. :D Erstickt an meinen Fehlern. Vielfalt!

  • Stefan B. aus H.

    Da muss man doch vom Organversagen ausgehen. Wo ist das Qualitätsmanagement der Krankenkasse in Sachen IT-Sicherheit bei der Pflichtenhefterstellung gewesen? Oder war das eine so wunderbar agile Entwicklung, dass die Programmierer einfach mal eine Leistungsschau im „Quick-And-Dirty“-Programmieren liefern durften?
    Ich finde, dass es für solche Fahrlässigkeit empfindliche, nicht versicherbare gesetzliche Strafen geben sollte.

  • Hier ginge es mal wieder nur um Klicks oder Zuschauerzahlen. Je unglaublicher es klingt, desto besser lassen sich solche Informationen verkaufen. Interessanter wird es, wenn man Einblick ins tatsächliche Geschehen hat. Die Credentials, mit denen sich ein Benutzer bei der AOK authentifiziert, wurden zu keiner Zeit unverschlüsselt übertragen. Der sog. „Hacker“ hat mittels eines MITM-Proxies die verschlüsselte Kommunikation aufgebrochen. Dies war in der alten App Version wohl noch möglich. Allerdings erfordert dies eine Installation eines „gefälschten“ Root-CA Zertifikats, so dass die App beim Verbindungsaufbau mit dem Fake AOK Server ein Zertifikat vorfindet, dem vertraut wird. Mit diesem Ansatz kann man fast jede TLS verschlüsselte Kommunikation aufbrechen. Dies wird auch Sebastian bestätigen können, denn der Charles Proxy macht genau das selbe.

  • Ich frage mich, wie eine Schwachstelle aussieht, nachdem man sie verbessert hat? Ist sie dann leichter zu finden? Oder besser dokumentiert?

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 37573 Artikel in den vergangenen 6113 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven