iphone-ticker.de — Alles zum iPhone. Seit 2007. 27 847 Artikel
MDR-Recherche

Sicherheitslücke in AOK-Bonus-App: Passwörter im Klartext

23 Kommentare 23

Das MDR Reportage-Magazin Exakt hat sich in seiner aktuellen Ausgabe mit der mobilen Bonus-App der AOK auseinandergesetzt und übt Kritik am digitalen Zusatz-Angebot des Versicherers.

Mdr Screenshot

Neben grundsätzlichen Bedenken, was die Datensicherheit von Krankenkassen-Apps angeht, haben die Redakteure eine ganz spezifische Schwachstelle in der AOK-App aufgespürt: Statt auf „best practice“-Lösungen der Branche zu setzen, hat das IT-Team der AOK die Nutzerkennwörter ihrer Anwender unverschlüsselt von der App übertragen lassen.

Mit den Passwörtern wird der Zugriff auf persönliche Daten bei der AOK Plus möglich, wie z.B. Bankverbindungen, Arztrechnungen oder Angaben zur Rentenversicherung. Allein in Sachsen und Thüringen nutzen rund 65.000 Versicherte die „AOK Bonus-App“. […] Die Krankenkasse teilte dem MDR mit: „Danke, dass Sie uns mit Ihrer Recherche auf eine bislang unentdeckte ‚Schwachstelle‘ in unserer Bonus-App hingewiesen haben und uns damit die Chance eröffnen, diese zu verbessern.“

Laden im App Store
‎AOK Bonus-App
‎AOK Bonus-App
Entwickler: AOK Bundesverband
Preis: Kostenlos
Laden

Montag, 15. Okt 2018, 11:30 Uhr — Nicolas
23 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Am MacBook kann das Video nicht abgespielt werden

  • Sofort dicht machen.
    Sowas lernt man doch in den ersten Tagen.

  • Im Jahr 2018 von unentdeckten Schwachstellen reden und Passwörter fahrlässig im Klartext übertragen und speichern.

    DSGVO Strafe lässt grüßen.

  • Das es sowas heute noch gibt, wow. Alles Experten.

    • Mein Arbeitskollege (wir beide arbeiten in der IT als Softwareentwickler) wusste bis vor wenigen Jahren noch nicht einmal was ein Hash-Algorithmus ist. Er ist übrigens befördert worden, ich nicht. Das Peter-Prinzip lässt grüßen.

      • Kenne ich.. er konnte sich dann scheinbar besser verkaufen oder schleimt auch rum..
        Mit auch schon passiert.. ätzend.. ich arbeite mittlerweile wo anders ;-)

      • Dann habt ihr entweder in der Ausbildung /Studium gepennt oder ihr hattet keine.
        So etwas IST ELEMENTAR.
        Und sehr bezeichnend und zugleich beschämend.

      • Wissen ist nicht alles! Soziale Kompetenz und Führungsstil sind oben wichtiger als geballtes Fachwissen. Wissen müssen die die man führt, und der der führt muss wissen was sie wissen;)

      • @helper: Zum Glück musst du mich nicht mit ihm in einen Topf werfen. Eigentlich wollte ich mit meinem Beispiel auch nur unterstreichen, warum mich solche Meldungen wie diese hier nicht unbedingt überraschen.

      • Der Herr Absolution hat es verstanden – so ist das leider

      • Das Verb „führen“ finde ich in dem Zusammenhang nicht mehr zeitgemäß.
        Auch wenn von Führungskraft, Fühungsstärke und derlei die Rede ist, so bereitet mir dies Unbehagen. Zumal es auch immer etwas mit oben und unten zu tun.

      • Auweia, die Sprachpolizei ist auch schon da.

  • Das Video ist leider nicht mehr verfügbar, gibt das auch in der ARD Videothek?

  • So viel zur Mär, dass Apps im Store generell sicher seien.
    Apple nervt die Entwickler mit restriktiven Vorgaben (teils auch berechtigt), aber so etwas fällt ihnen nicht auf,. Und das ist nicht das erste Mal. Mir scheint, einzig ihr Sandboxing ist für sie relevant.
    Ich empfehle, mal das Programm Charles Proxy zu installieren, erstaunlich, was manche Apps im Hintergrund so alles treiben.

  • Es müsste eher heißen: …das „IT-Team“ der AOK…
    Jedes IT-Unternehmen weiß doch inziwschen das man Passwörter nicht im Klartext abspeichert oder überträgt.

    Von daher kann man nur eins der AOK empfehlen. Vertrag kündigen und neuen IT Dienstleister suchen!!

    • …und jeder der eine Schule in Deutschland besucht hat weiß doch, dass man „das“ manchmal mit zwei „s“ schreiben muss ;)

      – Klugscheißer

      • „Manchmal“ ist abernicht richtig denn es folgt doch gewissen regeln. Danke für dein Tipp aber es bringt mir jetzt nun herzlich wenig da leider keine Bearbeitung hier zulässig ist. Von daher tut es mir nicht leid für euch Grammatik-Naz.is. :D Erstickt an meinen Fehlern. Vielfalt!

  • Stefan B. aus H.

    Da muss man doch vom Organversagen ausgehen. Wo ist das Qualitätsmanagement der Krankenkasse in Sachen IT-Sicherheit bei der Pflichtenhefterstellung gewesen? Oder war das eine so wunderbar agile Entwicklung, dass die Programmierer einfach mal eine Leistungsschau im „Quick-And-Dirty“-Programmieren liefern durften?
    Ich finde, dass es für solche Fahrlässigkeit empfindliche, nicht versicherbare gesetzliche Strafen geben sollte.

  • Hier ginge es mal wieder nur um Klicks oder Zuschauerzahlen. Je unglaublicher es klingt, desto besser lassen sich solche Informationen verkaufen. Interessanter wird es, wenn man Einblick ins tatsächliche Geschehen hat. Die Credentials, mit denen sich ein Benutzer bei der AOK authentifiziert, wurden zu keiner Zeit unverschlüsselt übertragen. Der sog. „Hacker“ hat mittels eines MITM-Proxies die verschlüsselte Kommunikation aufgebrochen. Dies war in der alten App Version wohl noch möglich. Allerdings erfordert dies eine Installation eines „gefälschten“ Root-CA Zertifikats, so dass die App beim Verbindungsaufbau mit dem Fake AOK Server ein Zertifikat vorfindet, dem vertraut wird. Mit diesem Ansatz kann man fast jede TLS verschlüsselte Kommunikation aufbrechen. Dies wird auch Sebastian bestätigen können, denn der Charles Proxy macht genau das selbe.

  • Ich frage mich, wie eine Schwachstelle aussieht, nachdem man sie verbessert hat? Ist sie dann leichter zu finden? Oder besser dokumentiert?

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 27847 Artikel in den vergangenen 4697 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2020 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven