Sicherheitsmängel in Gesundheits-App Vivy
Bereits fünf Tage nach dem Start der elektronischen Gesundheitsakte Vivy haben Sicherheitsforscher der Firma Modzero Mängel darin entdeckt.
Eine Funktion, mit der Patienten ad hoc Dokumente mit ihrem Arzt teilen können, sei konzeptionell nicht ausreichend geschützt gewesen. Das Problem: Der Arzt erhält für den Abruf der Dokumente vom Vivy-Server eine URL, die ein Angreifer jedoch erraten könnte. Für den Arzt bestimmte Dokumente seien damit für Dritte lesbar gewesen, bis der Arzt sie herunterlädt. Selbst wenn der Arzt schneller gewesen wäre, hätten Angreifer immer noch Metadaten des Patienten sowie den Arztnamen einsehen können. Die Dokumenten-URLs schickte die App zudem an vier Drittanbieter in den USA und Singapur.