Dies ist ein Thread zu den zahlreichen Anfragen rund um die #LucaApp.
▶️Wir schätzen das Angriffs-Szenario einer Code-Injection über das Luca-System abhängig von der konkreten Einsatzumgebung als plausibel ein. (1/5)
▶️Wir schätzen das Angriffs-Szenario einer Code-Injection über das Luca-System abhängig von der konkreten Einsatzumgebung als plausibel ein. (1/5)
Betreiber der #LucaApp haben das Problem bestätigt und Missbrauch nach eigenen Angaben unterbunden. Uns ist derzeit keine Ausnutzung der Schwachstelle bekannt. Wir sind der Auffassung, dass die Betreiber einer App für die Integrität übermittelter Daten verantwortlich sind. 2/5
Schutzmaßnahmen Dritter, etwa zusätzliches Unterbinden von Makro-Ausführung, stellen aus unserer Sicht keine ausreichende Sicherheitsmaßnahme dar. Wir sind der Ansicht, dass offenkundige Schwachstellen durch App-Betreiber unverzüglich und konsequent behoben werden sollten. 3/5
Wir haben nur die mobile #LucaApp (iOS, Android) im Rahmen unseres App-Testing-Portals durch einen IT-Sicherheitsdienstleister prüfen lassen. Diese Tests haben begrenzte Prüftiefe. Angriffs-Szenario einer Code-Injection übers Luca-System war daher nicht Gegenstand der Prüfung.4/5
Ergebnis wurde Betreiber übermittelt. Es gibt keinen Auftrag an uns, intensivere Prüfung der #LucaApp oder Apps anderer Anbieter vorzunehmen. App-Testing-Portal ist Angebot an Bundesverwaltung, um Einsatz von Apps auf Dienst-IT in der Bundesverwaltung überprüfen zu lassen. 5/5
• • •
Missing some Tweet in this thread? You can try to
force a refresh
