AOK Bonus-App: Sicherheitslücke gab seit 2017 Zugriff auf Nutzerdaten
Die AOK Bonus-App – laut Play Store mehr als 100.000 Installationen – ist offenbar seit langer Zeit von einer Sicherheitslücke betroffen gewesen, die unter den richtigen Umständen Zugriff auf Nutzerdaten gegeben hat. So ließen sich laut MDR seit Anfang 2017 die Passwörter der Nutzer auslesen. Mit dem Passwort erhält man Zugriff auf persönliche Daten, unter anderem Bankverbindungen, Arztrechnungen oder Angaben zur Rentenversicherung.
Die AOK Plus hat inzwischen reagiert und ein Update der App veröffentlicht. Solltet Ihr, sofern Ihr Nutzer der App seid, alsbald durchführen. Wobei auch fraglich ist, unter welchen Voraussetzungen die Passwörter auslesbar waren. Die Reaktion der AOK Plus gegenüber MDR:
„Danke, dass Sie uns mit Ihrer Recherche auf eine bislang unentdeckte ‚Schwachstelle‘ in unserer Bonus-App hingewiesen haben und uns damit die Chance eröffnen, diese zu verbessern.“
AOK-Plus-Sprecherin Hannelore Strobel sagt aber auch, dass nur ein kleiner Teil der Nutzer theoretisch gefährdet sei:
„In dem durch den MDR gestellten Angriffsszenario musste der Anwender eine veraltete Version des Android-Systems einsetzen und zusätzliche Software auf seinem Endgerät installiert haben, der Angreifer sich im selben WLAN befinden wie ein fiktiver Nutzer der Bonus-App und der Anwender die Sicherheitshinweise seines Smartphones ignorieren. Nur unter diesen Voraussetzungen konnte die Kommunikation mitprotokolliert werden.“
Die Aktualisierung der App steht im Google Play Store bereit, eventuell habt Ihr sie ja sogar schon durchgeführt. Hier interessiert mich mal die Meinung von Nutzern der App. Hier scheint es sich ja doch eher um eine theoretische Gefahr zu handeln und die Lücke wurde wohl auch nicht ausgenutzt. Hält Euch so etwas davon ab, solchen Apps, gerade in sensiblen Bereichen wie Gesundheit, weiterhin zu vertrauen?
„Die Lücke wurde wohl auch nicht ausgenutzt“ Sagt wer? Darüber kann es keine Informationen geben, weil es sich um einen Angriff innerhalb des lokalen LANs handelt. Weder AOK Systems noch der MDR kann darüber Informationen haben.
De facto handelt es sich um eine Sicherheitslücke, bei der besonders schützenswerte Sozialdaten abgeflossen sein können. Da versteht das BDSG und SGB keinen Spaß.
Klingt für mich nach unverschlüsselter Datenübertragung. Also irgendeine Api deren Endpunkt kein SSL-Zertifikat hatte. Bedeutet, man hätte mit den Millionen Nutzern in einem Netzwerk sein und den Traffic mitschneiden müssen.
Ist ja prima. Nutze die App und laufe fast jeden Tag 10.000 Schritte, jedoch wurde zuletzt vor einem Monat was angenommen/synchronisiert. Jetzt hat die App auch noch ne Lücke, ganz toll.
Ja, ich würde deswegen solche Apps nicht nutzen.
Überrascht mich in keinster Weise.
Wer die App für’s Bonusprogramm der AOK nutzen muss wird wissen was ich meine wenn ich sage dass die App wohl von Werksstudenten entwickelt wird. Alle paar Wochen ist irgendetwas anderes kaputt. Einfach nur furchtbar.