calendar
« Sep12345678910111213141516171819202122232425262728293031 Nov »

Gesundheits-App Vivy: Macher versuchen, Berichterstattung zu korrigieren

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
(Symbolbild) CC-BY-NC-ND 2.0 Daniel Hatton

Gestern wurden verschiedene schwere und leichtere Sicherheitslücken in der Gesundheits-App Vivy öffentlich. Die Macher der App waren verständlicherweise nicht begeistert: Berichterstattung über handwerkliche Mängel in einer Software, die sensible Gesundheitsdaten betrifft, kann die Verantwortlichen nicht erfreuen. Sie schrieben schon kurze Zeit nach Erscheinen des Artikels an unsere Redaktion und warfen uns „unwahre Tatsachenbehauptungen und eine einseitige Darstellung“ vor. Der Artikel, der die in Vivy gefundenen Sicherheitslücken im einzelnen darlegt und erklärt, wurde außerdem schriftlich kommentiert.

Die Anmerkungen von Vivy haben wir geprüft und bei entstehenden Fragen den Forschern der Firma modzero, die die Sicherheitslücken gefunden hatten, vorgehalten. Dabei zeigt sich, dass sich die App-Hersteller gegenüber ihren eigenen schriftlichen Aussagen in Widersprüche verstricken und es mit der Wahrheit nicht allzu genau nehmen. Für ein Unternehmen, das eigentlich froh sein kann, wenn Sicherheitsforscher eine beträchtliche Anzahl gefundener Sicherheitslücken in einem von tausenden Menschen genutzten Produkt mit sehr sensiblen Daten melden, ist ein solches Verhalten irritierend.

Konkret wirft Vivy uns folgende „unwahre Tatsachenbehauptungen“ vor und reicht dazu auch schriftliche „Ergänzungen“ ein, die wir hier wiedergeben und kommentieren.

Alle Lecks binnen 24 Stunden geschlossen?

Wir berichteten, dass die IT-Sicherheitsforscher der Firma modzero in dem Prestigeprojekt von Krankenkassen und der Allianz-Versicherung eine große Anzahl an Lücken und Lecks gefunden hätten, die teils auch Laien ausnutzen könnten. Auch die Verschlüsselung hätten sie umgehen können. Daraufhin bittet uns das Unternehmen um folgende wichtige Ergänzung, nämlich dass Vivy „alle Leks (sic) binnen 24 Std nach Kenntnis“ geschlossen hätte. Der letzte Fix habe am vierten Oktober vorgelegen.

Wir betonten allerdings bereits mehrere Male in unserem Text, dass die nun veröffentlichten Sicherheitslücken geschlossen worden waren. Das ist gerade ein wesentlicher Aspekt, der mit dem Begriff „Responsible Disclosure“ umschrieben ist: Jemand meldet den Verantwortlichen eine oder wie in diesem Fall mehrere Sicherheitslücken und veröffentlicht sein Wissen erst, wenn die Betroffenen die Möglichkeit hatten, die Probleme zu bearbeiten. Wir verlinkten auch mehrfach die umfängliche Stellungnahme von Vivy und zitierten auch daraus.

Auf Nachfrage erklärte uns modzero nun, dass es nicht zutrifft, dass alle Sicherheitslücken nach 24 Stunden repariert worden seien. Zwar hätten die Sicherheitsforscher nicht noch weitere Tests durchgeführt, allerdings seien dennoch „zu Dokumentations-Zwecken einzelne Befunde zu einem späteren Zeitpunkt erneut geprüft“ worden. Mit „Befunden“ meinen die IT-Sicherheitsforscher Sicherheitslücken, die den App-Verantwortlichen zuvor mitgeteilt worden waren.

Vivy bat um Verlängerungen des Responsible-Disclosure-Prozesses

Aus diesen Nachtests Ende September hätte sich laut modzero ergeben, dass Vivy nicht alle Lecks binnen 24 Stunden nach Kenntnis geschlossen hätte. Unter anderem beträfe das den „Befund Persistentes Cross-Site-Scripting in Profilbildern“, den modzero den App-Machern zur Verfügung gestellt hatte. Bei diesem Sicherheitsproblem hätte ein Nachtest ergeben, dass es auch mehr als 24 Stunden später noch bestand.

Die Firma modzero hat der Redaktion von netzpolitik.org dafür Belege sowie die konkreten HTTP-Anfragen an die Vivy-Plattform und deren Antworten vorgelegt, um zu zeigen, dass eingeschleuster JavaScript-Code auch nach mehr als 24 Stunden bei Abruf der Profilbild-URL im Browser ausgeführt worden war. Entsprechend müssen wir davon ausgehen, dass die Angaben von Vivy nicht der Wahrheit entsprechen, wenn behauptet wird, dass alle Lücken in einem Zeitraum von einem Tag geschlossen wurden.

Thorsten Schröder von der modzero GmbH und Christian Rebernik von Vivy sprechen auf Twitter. Twitter/Screenshot

Vivy bat bei modzero mehrere Male um Verlängerung des Responsible-Disclosure-Prozesses, da auch nach dem vierten Oktober noch nicht alle Lücken geschlossen waren. Auch das deutet darauf hin, dass es sich um grundlegende Sicherheitsprobleme handelt, die gerade nicht innerhalb kürzester Zeit erledigt waren.

Die App-Macher geben gegenüber netzpolitik.org dennoch schriftlich an, dass modzero per Tweet bestätigt hätte, dass die 24-Stunden-Zeitspanne zum Schließen der Lücken eingehalten wurde. Einen konkreten Tweet benennt Vivy allerdings nicht.

Die Firma modzero weist eine solche Bestätigung ihrerseits zurück und zitiert den Blog-Artikel, der über eine E-Mail der Vivy-Geschäftsführung berichtet:

Am 4. Oktober um 18 Uhr erreichte uns eine PGP-signierte Email von einem der Vivy-Geschäftsführer, in der Vivy um eine Verlängerung von zwei Wochen bat, da einige Sicherheitsprobleme der Crypto-Implementierung noch nicht behoben werden konnten.

Diese kryptographisch signierte E-Mail des CTO von Vivy hat modzero der Redaktion von netzpolitik.org vorgelegt. Sie belegt zweifelsfrei, dass sich die App-Macher nicht in der Lage sahen, die von modzero gefundenen Sicherheitslücken innerhalb von einem Tag zu schließen.

Datenübertragung zwischen Arzt und Patient

Wir schrieben außerdem über die Schwächen bei der Datenübertragung zwischen Arzt und Patient. Die Vivy-Plattform öffnet eine temporäre Sitzung und generiert eine öffentlich aufrufbare URL mit fünf Kleinbuchstaben am Ende, die sogenannte Sitzungs-ID. Diese Information würde es erlauben, in weniger als 24 Stunden theoretisch alle Sitzungen über das Internet aufzurufen. Unter der URL könnten Ärzte Dokumente abrufen und müssten dafür bloß eine vierstellige PIN eingeben.

Die App-Macher von Vivy schreiben uns dazu, dies sei „faktisch völlig falsch“: Eine „Voraussetzung hierfür wäre gewesen, dass ein Angreifer den Brute-Force-Angriff vollständig innerhalb der Gültigkeitsdauer einer Session hätte durchführen können und dieser Angriff von der automatischen Sicherheitskontrolle der Vivy-Server nicht entdeckt worden wäre, die bei einer hohen Anzahl von Anfragen zu einem Alarm führt“. Nicht korrekt sei auch „der erweckte Eindruck, das erfolgreiche Ermitteln der korrekten PIN genüge für einen Zugriff auf das in der Sitzung freigegebene Dokument“. Vivy fügte hinzu, dass die „Session damals automatisch binnen 30 Sekunden“ ablief.

Die Behauptung, es handle sich um eine Falschaussage, bezieht sich aber gar nicht auf dass, was wir in dem Artikel geschrieben hatte. Die Qualifizierung „theoretisch“ bezieht sich vielmehr darauf, dass fünf Stellen mit Kleinbuchstaben knapp zwölf Millionen mögliche Session-IDs ergeben. Diese können ohne Probleme innerhalb von 24 Stunden aus dem Internet aufgerufen – wohlgemerkt nicht eingesehen – werden.

In unserem Artikel erklärten wir, dass man dafür zunächst die URL mit der ID benötigt und danach die PIN. Wie man diese bekommt, wurde ebenfalls erläutert. Die Andeutung von Vivy, dass für das Einsehen der Sitzung mehr Angaben als URL und PIN benötigt wurden, ist ihrerseits nicht korrekt. Dies bestätigen auch die App-Macher selbst in einem von Vivy veröffentlichten und in Zusammenarbeit mit Fraunhofer AISEC erstellten Whitepaper:

Über die Vivy-App kann der Nutzer für einzelne Gesundheitsdaten einen im Internet, zeitlich begrenzt, erreichbaren Shortlink und eine PIN erstellen. Unter Angabe der PIN können diese Gesundheitsdaten dann mit einem Webbrowser heruntergeladen werden.

Fragwürdige Ergänzungen von Vivy

Allerdings stellt sich bei der Prüfung der schriftlichen Anmerkungen der App-Verantwortlichen heraus, dass die Angaben von Vivy zu einer „automatischen Sicherheitskontrolle der Vivy-Server“ zumindest fragwürdig sind. Denn auf Nachfrage erfahren wir von den Sicherheitsforschern, dass in den Tests von modzero „keine automatische Sicherheitskontrolle gegriffen“ hätte, es seinen auch „keine Zugriffe“ blockiert worden.

Eine temporäre Sitzung sei außerdem seinerzeit mindestens 24 Stunden offen gewesen, erklärt modzero gegenüber netzpolitik.org. Letztlich bestätigt dies sogar Vivy selbst. Denn in dem mit Fraunhofer AISEC erstellten Whitepaper findet sich folgende Aussage:

Der Nutzer muss durch die Angabe der E-Mail-Adresse des Leistungserbringers den Vorgang starten. Dabei bestimmt er auch die Dauer, wie lange seine zu teilenden Gesundheitsdaten abrufbar sein sollen. Zur Auswahl stehen hier 24 Stunden oder dauerhaft […].

Es habe auch ein „Meeting bei Vivy in Berlin am 24. September 2018“ gegeben, in dem dies bestätigt und auch akzeptiert worden sei, erklärt modzero gegenüber netzpolitik.org. Anwesend seien dabei zwei Vertreter von modzero sowie der Vivy-CEO und der Vivy-CTO, zusätzlich aber auch der CISO der Allianz Deutschland AG, Stephan Gerhager. Die Firma modzero betont, dass Gerhager die „Darstellung und auch die Akzeptanz aller weiteren im Bericht genannten Schwachstellen bestätigen“ könne.

Die Firma modzero war den Vivy-Machern in diesem Meeting entgegengekommen: Man hatte nicht nur die verschiedenen Sicherheitslücken erläutert, sondern den App-Verantwortlichen sogar Vorschläge gemacht, wie man mit den Problemen umgehen sollte. Gegenüber netzpolitik.org schreiben die Sicherheitsforscher: „modzero hat im Rahmen des Meetings auch skizziert, wie sich Angriffe auf die zu kurze ‚Session ID‘ mittels Bot-Netzen verteilen lassen, um Penalty-Timeout und IP-Blocking-Maßnahmen zu umgehen. Ein sinnvoller Weg wäre es gewesen, eine Session-ID zu verwenden, die auch unter diesen Umständen nicht erraten werden kann.“

Vivy spielt Angriffszenarien als „hypothetisch“ herunter

Wir schrieben in unserem Artikel über die Unsicherheiten beim Schlüsselaustausch auf der Vivy-Plattform und inwiefern Angreifer diese ausnutzen könnten. Will man einem anderen Nutzer ein Dokument schicken, bekommt man den auf der Vivy-Plattform hinterlegten öffentlichen Schlüssel geschickt. Allerdings kann man als Nutzer nicht feststellen, dass es sich auch tatsächlich um den richtigen Schüssel handelt. Es gibt kein Register, das festhält, wem welcher öffentlicher Schlüssel gehört. Dadurch könnten sich Angreifer, die einen Weg auf die Server der Plattform gefunden haben, zwischen die Kommunikation schalten, etwa indem sie ihre eigenen öffentlichen Schlüssel einschleusen und die Inhalte mitschneiden.

Vivy bezeichnete das als einen „sehr hypothetischen Angriffsvektor“, für den „ein Angreifer zunächst unbemerkt die Vivy-Server kompromittieren“ müsste. Das scheint eine sich wiederholende Argumentationslinie der App-Macher zu sein: Angriffe, die ihnen als nicht sehr wahrscheinlich scheinen, bezeichnen sie als hypothetisch. Damit kommt der Eindruck auf, dass Vivy nur Sicherheitslücken wirklich ernstnimmt, die leicht auszunutzen sind. Für eine mobile Anwendung, der höchst sensible Daten anvertraut werden, ist das eine mutige Argumentation. Bei genauerem Hinsehen aber erweist sie sich zudem als doppelt gewagt: Schließlich ist generell jeder Angriff so lange als hypothetisch anzusehen, bis er wirklich durchgeführt wird.

Vivy schreibt weiter, dass im „Anschluss nur die zeitlich nach der Kompromittierung übermittelten Dokumente entschlüsselt werden“. Wir wiesen daraufhin, dass Angreifer einen Weg auf die Vivy-Server gefunden haben müssten. Mit keinem Wort erwähnten wir, dass auch vergangene Kommunikation entschlüsselt werden könnte. Vivys Aussagen widersprechen unserer Beschreibung also nicht.

Die App-Macher ergänzten außerdem, dass Ärzte die „Möglichkeit einer Registrierung haben“, so dass „diese in Zukunft für die Kommunikation mit dem Nutzer persönliche Konten mit individuellen Schlüsseln nutzen können“. Dieses Verfahren haben wir bereits im Artikel unter expliziter Bezugnahme auf die auch verlinkte Stellungnahme von Vivy beschrieben: „Ärzte könnten sich zudem registrieren, um sicherzustellen, dass in Zukunft keine falschen öffentlichen Schlüssel verwendet würden.“

Vivy fügte noch hinzu, dass die App den Kommunikationspartnern ermögliche, „den öffentlichen Schlüssel des Benutzers vor einem Dokumentenupload selbst zu überprüfen“. Diese Aussage ist allerdings fragwürdig. Auf Nachfrage bei den Sicherheitsforschern von modzero erfahren wir, dass „die untersuchte Android-App keine Möglichkeit bot, öffentliche Schlüssel zu überprüfen“. Die Überprüfung des öffentlichen Schlüssels durch Ärzte sei zudem „optional eingeführt worden“.

Vivy widerspricht uns gegenüber den eigenen Aussagen aus der Stellungnahme

Vivy kommentierte zudem ein Zitat von Thorsten Schröder von modzero gegenüber netzpolitik.org. Es besagte, dass „durch trivial ausnutzbare Sicherheitslücken […] private RSA-Schlüssel von den Endgeräten“ gestohlen worden könnten. Vivy kritisiert, dass dies „einen Besitz und Rootkit-Hack des Endgeräts“ voraussetze. Damit hängen sich die App-Verantwortlichen nochmals weit aus dem Fenster und offenbaren ein fragwürdiges Verständnis von IT-Sicherheit bei ihrem Produkt. Auf Nachfrage bei den Sicherheitsforscher von modzero bestätigen sie, dass für Angriffe auf die RSA-Schlüssel auf den Endgeräten der Ärzte „die Nutzung eines regulären, zeitgemäßen Web-Browsers auf dem Arzt-PC“ genüge.

Im Hinblick auf gerootete Telefone erwidern sie außerdem, dass Vivy durch ihre Verwendung entstehende Risiken „durch den Einsatz geeigneter jailbreak-detection frameworks und die Verwendung geeigneter Key- und Certificate-Stores auf ein angemessenes Maß“ hätte reduzieren können. Jedoch: „Das war in der seinerzeit vorliegenden Version nicht der Fall.“

Auch die Aussage von Schröder, dass „eine Verkettung zahlreicher kleinerer Probleme der Vivy-Plattform“ letztlich dazu führte, „dass der Schutz einer Ende-zu-Ende-Verschlüsselung ausgehebelt werden konnte“, kommentierte Vivy gegenüber netzpolitik.org schlicht mit der Aussage „Falsch“. Doch damit widersprechen die App-Macher den eigenen Angaben aus der Stellungnahme.

Denn Vivy bestätigt darin, dass die RSA-Schlüssel von den Endgeräten der Ärzte, also aus der Browser-App, gestohlen und zur Entschlüsselung von Dokumenten verwendet werden konnten. Bereits in deren Stellungnahme zum Bericht der modzero GmbH heißt es:

In Verbindung mit der Ausnutzung einer der von der modzero gefundenen Cross-Site-Scripting-Schwachstelle, auch XSS genannt, war es in der Browser-App möglich, den privaten Schlüssel des temporären Arzt-Accounts zu extrahieren. Dieser hätte […] theoretisch das Entschlüsseln von Dokumenten erlaubt, die mit dem öffentlichen Schlüssel des Arztes verschlüsselt wurden […]

Im Grunde ist der traurige Fall der Vivy-App ein Musterbeispiel dafür, wie Verantwortliche für Sicherheitslücken nicht mit IT-Vorfällen umgehen sollten. Wenn sich Profis daran machen, Sicherheitsprobleme in einem Produkt den Betroffenen zu melden, dann hätten die App-Macher in erster Linie die Verantwortung – schon gegenüber ihren Kunden – die Probleme abzustellen. Und gleichzeitig ernsthaft zu reflektieren, was man am eigenen Handeln strukturell ändern könnte, um künftig solche IT-Sicherheitsprobleme zu vermeiden. Die Fehler lieber bei den anderen zu suchen und zusätzlich den Berichterstattern unwahre Tatsachenbehauptungen vorzuwerfen, sollte vielleicht nicht die erste Priotität sein, wenn man selbst für diese Fehler verantwortlich ist.


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

von Datenschutz – netzpolitik.org, gepostet am Mittwoch, 31. Oktober 2018 um 15:47
Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:
Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien: