gematik Authenticator
Hijacking des Authentifizierungsablaufs
Der Authentifizierungsablauf des gematik Authenticators kann durch Angreifer übernommen werden. Über einen manipulierten Deep Link können Angreifer sich mit der Identität von Betroffenen authentifizieren.
Dieser Sicherheitshinweis enthält im Rahmen der koordinierten Offenlegung nur eingeschränkte Informationen. Bitte schauen Sie später für weitere Details vorbei.
Beschreibung
Über einen manipulierten Link können Angreifer den Authentifizierungsablauf des gematik Authenticators übernehmen und sich mit der Identität der betroffenen Person authentifizieren.
Auswirkung
- Unbefugter Zugriff auf Gesundheitsanwendungen unter der Identität der betroffenen Person.
Abhilfe
Aktualisieren Sie den gematik Authenticator auf Version 4.16.0 oder höher.
Referenzen
Wer wir sind
Die Sicherheitsforscher hinter diesem Advisory.
Dr. rer. nat. Simon Weber
Senior Pentester & MedSec-Forscher
Ich evaluiere Ihr SaMD mit derselben branchenprägenden Sicherheitsexpertise, die ich dem BAK MV für die Überarbeitung des B3S-Standards beigetragen habe.
- Promotion über Krankenhaus-Cybersicherheit
- Kritische Schwachstellen in Krankenhaussystemen gefunden
- Alumni der THB MedSec-Forschungsgruppe
Dipl.-Inf. Volker Schönefeld
Senior Application Security Expert
Als ehemaliger CTO und Entwickler, der zum Pentester wurde, arbeite ich mit Ihrem Team zusammen, um Schwachstellen aufzudecken und Lösungen zu finden, die zu Ihrer Architektur passen.
- 20+ Jahre als CTO, 50+ Mio. App-Downloads
- Architektur und Absicherung großer IoT-Flotten
- Certified Web Exploitation Specialist
Penetrationstest gesucht?
Machine Spirits ist spezialisiert auf Sicherheitsbewertungen für Medizinprodukte und Gesundheits-IT. Von MDR-Penetrationstests bis C5-Cloud-Compliance helfen wir MedTech-Unternehmen, regulatorische Anforderungen zu erfüllen.