Originally shared by Kristian Köhntopp
Daß die Gesundheitsapp der Kassen, Vivy, mit der heißen Nadel gestrickt war wurde ja schon nach einem schnellen APK Teardown klar. Die Anzahl der darin enthaltenen Debug-Bibliotheken und Tracker war Legion.
Jetzt haben sich Leute von modzero mal mehr Zeit genommen und die App systematisch auseinander gebaut, und das Ergebnis ist nicht schön: Die Security der App, der Server und der Browseranwendung ist unterirdisch - gehört gelöscht!
Bemerkenswert ist auch, daß die App alle möglichen Zertifikate hat - vom BSI, dem berüchtigten TÜV Rheinland und der ePrivacy GmbH. Das sagt auch einiges über den Wert dieser Zertifizierungen und der damit einhergehenden Untersuchungen aus.
https://netzpolitik.org/2018/prestigeprojekt-mit-macken-forscher-fanden-schwere-sicherheitsluecken-in-gesundheits-app-vivy/
https://netzpolitik.org/2018/prestigeprojekt-mit-macken-forscher-fanden-schwere-sicherheitsluecken-in-gesundheits-app-vivy/
0 Kommentare:
Kommentar veröffentlichen