Paris, 9. März 2023 - Pradeo, der internationale Marktführer für die Sicherheit von mobilen Flotten und Anwendungen, gibt die Entdeckung einer Sicherheitslücke im Code einer beliebten Open-Source-Bibliothek für Entwickler bekannt. Dieses Schnittstellenmodul zum Hinterlassen von Kommentaren, das von der Community kostenlos heruntergeladen werden kann, enthielt eine Schwachstelle, die die Wiedererlangung von Administratorrechten für die Anwendung ermöglichte.
Die Schwachstelle wurde von Hopinnov entdeckt, einem Pionier im Bereich der Digitalisierung der Krankenhauslogistik und Nutzer der Quellcode-Analyse-Lösung von Pradeo. Das in Rennes ansässige Startup hat einen Teil seiner Anwendung als Open Source entwickelt und ist von den Vorteilen überzeugt.
Ausweitung der Privilegien: Eine verwundbare Codezeile reicht aus
Die kritische Schwachstelle wurde von Pradeos Tool zur Analyse der Sicherheit des Quellcodes von Anwendungen entdeckt. Ihre Entdeckung ermöglichte es Sébastien Valentini, Präsident und Mitbegründer von Hopinnov, sie an die für das Modul verantwortlichen Personen weiterzuleiten. Sie sorgten dafür, dass es innerhalb weniger Tage durch eine korrigierende Codezeile behoben wurde.
Im Rahmen der POC & PICK-Lösung von Hopinnov ermöglicht das von der Sicherheitslücke betroffene Kommentar-Modul den Zugreifenden, ihr Feedback zu den Operationsprotokollen zu teilen: die Vorbereitung der Operationssäle: das verwendete Material, die Anordnung des Saals, die Unterbringung des Patienten...
Die Sicherheitslücke ermöglichte eine Privilegieneskalation, die für die Daten des Krankenhauses problematisch hätte sein können. Ein Cyberkrimineller hätte Administratorkennungen und -passwörter abgreifen und sich einfach an der Schnittstelle anmelden können. Dies hätte die Möglichkeit eröffnet, Operationsprotokolle nach Belieben zu ändern und alle in der Anwendung verfügbaren Informationen abzurufen.
Ein komplementärer Ansatz zwischen Audit und Pentesting
Glücklicherweise führte Hopinnov vor der Vermarktung seiner Anwendung einen Penetrationstest durch, indem es den Quellcode mithilfe der Pradeo-Lösung in Verbindung mit Pentesting prüfte. Dieser ergänzende Ansatz ermöglichte es ihnen, die ausnutzbare Schwachstelle aufzudecken, die nun regelmäßig zur Risikominimierung genutzt wird.
Nach einer erneuten Analyse der Hopinnov-Anwendung durch die Pradeo-Lösung und der Behebung der Schwachstelle ist die Anwendung und damit auch das Open-Source-Kommentarmodul nun sicher.
Mit Pradeo stellt das Unternehmen von Sébastien Valentini kontinuierlich sicher, dass der Code seiner Anwendung keine Schwachstellen aufweist. Das Tool, das gesundheitsspezifische Analysen integriert und einen disruptiven Mechanismus zur Erkennung und Behebung von Schwachstellen nach sicheren Programmierpraktiken bietet, ermöglichte es dem Unternehmen, seinen Code bereits bei der Konzeption zu sichern.
Das anwendende Pflegepersonal kann nun die logistischen und vorbereitenden Aspekte eines Operationssaals sicher kommentieren. Die Änderung des Protokolls ist nur für autorisierte Personen möglich, ebenso wie der Zugriff auf bestimmte Schlüsselinformationen.
"Die mit dem Pradeo-Tool durchgeführte Sicherheitsanalyse des Anwendungscodes ermöglichte es uns, das Cyberrisiko optimal und so früh wie möglich zu berücksichtigen, was in einem Sektor wie dem Gesundheitswesen, der häufig von Cyberangriffen betroffen ist und in dem viel auf dem Spiel steht, von entscheidender Bedeutung ist. Hopinnov hat als Softwarehersteller die Aufgabe, die Arbeit des Krankenhauspersonals zu vereinfachen, und wir sind es uns schuldig, die maximale und permanente Sicherheit unserer Software zu gewährleisten." Sagt Sébastien Valentini, Präsident und Mitbegründer von Hopinnov.
Über Pradeo: Pradeo bietet Lösungen zum Schutz mobiler Anwendungen und Geräte. Die Sicherheitstechnologie von Pradeo wird von Gartner, IDC, Forrester und Frost & Sullivan als eine der fortschrittlichsten in der Branche anerkannt. Sie bietet eine präzise Erkennung von Bedrohungen, verhindert die Exfiltration von Informationen von mobilen Geräten und sorgt für die Einhaltung von Datenschutzgesetzen.