AOK Bonus-App: Sicherheitslücke gab seit 2017 Zugriff auf Nutzerdaten


Die AOK Bonus-App – laut Play Store mehr als 100.000 Installationen – ist offenbar seit langer Zeit von einer Sicherheitslücke betroffen gewesen, die unter den richtigen Umständen Zugriff auf Nutzerdaten gegeben hat. So ließen sich laut MDR seit Anfang 2017 die Passwörter der Nutzer auslesen. Mit dem Passwort erhält man Zugriff auf persönliche Daten, unter anderem Bankverbindungen, Arztrechnungen oder Angaben zur Rentenversicherung.

Die AOK Plus hat inzwischen reagiert und ein Update der App veröffentlicht. Solltet Ihr, sofern Ihr Nutzer der App seid, alsbald durchführen. Wobei auch fraglich ist, unter welchen Voraussetzungen die Passwörter auslesbar waren. Die Reaktion der AOK Plus gegenüber MDR:

„Danke, dass Sie uns mit Ihrer Recherche auf eine bislang unentdeckte ‚Schwachstelle‘ in unserer Bonus-App hingewiesen haben und uns damit die Chance eröffnen, diese zu verbessern.“

AOK-Plus-Sprecherin Hannelore Strobel sagt aber auch, dass nur ein kleiner Teil der Nutzer theoretisch gefährdet sei:

„In dem durch den MDR gestellten Angriffsszenario musste der Anwender eine veraltete Version des Android-Systems einsetzen und zusätzliche Software auf seinem Endgerät installiert haben, der Angreifer sich im selben WLAN befinden wie ein fiktiver Nutzer der Bonus-App und der Anwender die Sicherheitshinweise seines Smartphones ignorieren. Nur unter diesen Voraussetzungen konnte die Kommunikation mitprotokolliert werden.“

Die Aktualisierung der App steht im Google Play Store bereit, eventuell habt Ihr sie ja sogar schon durchgeführt. Hier interessiert mich mal die Meinung von Nutzern der App. Hier scheint es sich ja doch eher um eine theoretische Gefahr zu handeln und die Lücke wurde wohl auch nicht ausgenutzt. Hält Euch so etwas davon ab, solchen Apps, gerade in sensiblen Bereichen wie Gesundheit, weiterhin zu vertrauen?

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

5 Kommentare

  1. „Die Lücke wurde wohl auch nicht ausgenutzt“ Sagt wer? Darüber kann es keine Informationen geben, weil es sich um einen Angriff innerhalb des lokalen LANs handelt. Weder AOK Systems noch der MDR kann darüber Informationen haben.

    De facto handelt es sich um eine Sicherheitslücke, bei der besonders schützenswerte Sozialdaten abgeflossen sein können. Da versteht das BDSG und SGB keinen Spaß.

  2. Klingt für mich nach unverschlüsselter Datenübertragung. Also irgendeine Api deren Endpunkt kein SSL-Zertifikat hatte. Bedeutet, man hätte mit den Millionen Nutzern in einem Netzwerk sein und den Traffic mitschneiden müssen.

  3. Ist ja prima. Nutze die App und laufe fast jeden Tag 10.000 Schritte, jedoch wurde zuletzt vor einem Monat was angenommen/synchronisiert. Jetzt hat die App auch noch ne Lücke, ganz toll.

  4. Ja, ich würde deswegen solche Apps nicht nutzen.

  5. Überrascht mich in keinster Weise.
    Wer die App für’s Bonusprogramm der AOK nutzen muss wird wissen was ich meine wenn ich sage dass die App wohl von Werksstudenten entwickelt wird. Alle paar Wochen ist irgendetwas anderes kaputt. Einfach nur furchtbar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.