Eine Datenpanne gab es jetzt bei der AOK Bonus-App, über welche Kunden der Krankenkasse gesammelte Fitness-Daten einpflegen können. Eine bittere und irgendwie nicht überraschende Erkenntnis, die der MDR nun während einer Recherche hatte. Eine Sicherheitslücke in der AOK Bonus-App machte möglich, dass Passwörter der Nutzer ausgelesen werden konnten. Dadurch waren Daten der Kunden abrufbar, wie Bankverbindungen und Arztrechnungen.
Die AOK Plus reagierte inzwischen auf die MDR-Recherchen und hat eine aktualisierte Version der Bonus-App veröffentlicht. Die Krankenkasse teilte dem MDR mit: „Danke, dass Sie uns mit Ihrer Recherche auf eine bislang unentdeckte ‚Schwachstelle‘ in unserer Bonus-App hingewiesen haben und uns damit die Chance eröffnen, diese zu verbessern.“
Es wurde aber auch klar gemacht, dass die Sicherheitslücke nicht „einfach so“ angreifbar war.
In dem durch den MDR gestellten Angriffsszenario musste der Anwender eine veraltete Version des Android-Systems einsetzen und zusätzliche Software auf seinem Endgerät installiert haben, der Angreifer sich im selben WLAN befinden wie ein fiktiver Nutzer der Bonus-App und der Anwender die Sicherheitshinweise seines Smartphones ignorieren. Nur unter diesen Voraussetzungen konnte die Kommunikation mitprotokolliert werden.
Nicht jeder will seine Fitness-Daten an die immer reicher werdenden Krankenkassen übertragen, nur um dafür einen Bonus zu erhalten. Macht man das doch, muss offensichtlich mit Sicherheitsproblemen gerechnet werden. Mit Problemen sogar ganz allgemein, das beweisen die Rezensionen der App im Google Play Store. [via]
[appbox googleplay de.aoksystems.ma.abp.app]