Wiadomości z Niemiec – Ekspert ds. bezpieczeństwa Martin Tschirsich odkrył niebezpieczną lukę w zabezpieczeniach i błędy implementacyjne w kilku aplikacjach zdrowotnych. Umożliwiło to atakującym dostęp do poufnych danych z czatów między lekarzami a pacjentami. Problem dotyczy prawie miliona użytkowników.
Czytaj także: Znana niemiecka sieć sklepów jest niewypłacalna. “150 sklepów zostanie zamkniętych”
Oprócz wycieku danych pacjentów, przestępcy mogli także ukraść tożsamość lekarzy za pomocą funkcji resetowania hasła. Jak dowiedział się portal Heise.de na prośbę Seana Monksa, dyrektora zarządzającego Monks Ärzte im Netz GmbH, funkcja ta została na razie wyłączona dla wszystkich przychodni. Wkrótce wprowadzone zostanie uwierzytelnianie dwuskładnikowe. Firma Monks Ärzte im Netz GmbH obsługuje aplikacje, których dotyczy problem.
Wyciek danych z aplikacji zdrowotnych. Sprawdź, czy masz je na swoim telefonie
Problem dotyczył między innymi aplikacji „Mein Kinder- und Jugendarzt” z 700 000 pobrań, „Meine GynPraxis” z ponad 100 000 pobrań oraz „Mein HNO-Arzt” z około 5 000 pobrań w sklepie Google Play. Wszystkie opierają się na tym samym podstawowym frameworku. Luka została już naprawiona.
Kolejnym problemem, którego jeszcze nie naprawiono, jest wadliwa implementacja szyfrowania end-to-end. Nie jest ono domyślnie aktywowane. Atakujący mogli więc wysyłać za pośrednictwem aplikacji złośliwe oprogramowanie do przychodni. W przyszłości szyfrowanie end-to-end powinno działać poprawnie. Wyciek nie został jeszcze w żaden sposób wykorzystany przez przestępców.
Czytaj także: Natychmiast usuń te aplikacje ze swojego telefonu. Mogą wyczyścić twoje konto
Podstawowym problemem platformy jest brak weryfikacji tożsamości nowych gabinetów lekarskich i pacjentów. Atakujący mogą więc teoretycznie podszywać się pod pacjentów lub nawet przychodnie. Firma obsługująca aplikacje zapowiedziała już wprowadzenie usprawnień.
CHIP.de, PolskiObserwator.de