Luca-App macht Infektion mit Schadcode möglich


Bei der Luca-App lässt sich Schadcode auf die Rechner von Gesundheitsämtern einschleusen. Dazu demonstrierte der Sicherheitsforscher Marcus Mengs gestern in obigem auf Youtube veröffentlichten Video, wie ein solcher Code über den Import von CSV-Dateien in Excel ausgeführt werden kann, wenn Nutzer Warnhinweise des Programms ignorieren und wenn die Ausführung von Makros möglich ist.

Die Gefahr solch einer Code-Injection bei der Luca-App war schon vor mehreren Wochen diskutiert worden. Jetzt haben die Luca-Entwickler nach eigenen Angaben einen zusätzlichen Filter eingefügt, der angeblich die Kontamination durch Excel-Makros verhindern soll.

Luca: Ein Angriff ist nicht möglich

Patrick Hennig, Chef des Luca-Entwicklers Nexenio, hat die Möglichkeit von Code-Injection als unzutreffend bezeichnet. Nach Hennig werden die notwendigen Sonderzeichen beim Entschlüsseln der Daten für die Gesundheitsämter und beim Import in deren Sormas-System herausgefiltert. “Ein Angriff ist nicht möglich”, hatte Hennig noch Anfang Mai gesagt.

Es sei hingegen nicht sinnvoll, solche Sonderzeichen schon bei der Eingabe der Nutzerdaten zu blockieren. “Wir können es nur auf Smartphones verhindern, denn über die API könnte trotzdem jeder andere Zeichen reinschieben, deswegen haben wir bei der Eingabe darauf verzichtet”, sagte er damals zur Begründung.

Wenn man Warnhinweise ignoriert, knallt es

In Mengs Video müssten die Mitarbeiter der Gesundheitsämter nur entsprechende Excel-Warnungen wegklicken. “Microsoft Office hat ein potenzielles Sicherheitsrisiko erkannt”, sagt so ein Hinweis Hinweis, “Diese Arbeitsmappe enthält Webdienst-Funktionen, die Inhalte aus dem Internet empfangen. Aktivieren Sie diese Inhalte nur, wenn Sie der Quelle dieser Daten vertrauen.”

Sicherheitsforscher Mengs hält es durchaus für realistisch, dass Mitarbeiter diese Warnung ignorieren. “Luca hat ja immer gesagt, sie seien eine Quelle, der man vertrauen kann”sagte Mengs der Zeit.

Luca nennt den gezeigten Angriff jetzt “unwahrscheinlich”

Die Luca-Entwickler kontern, dass ein solcher Angriff in Behörden sehr unwahrscheinlich sei. Die Möglichkeit der Ausführung eines schadhaften Makros im Rahmen eines Excel-Imports sei “im behördlichen Umfeld im Regelfall deaktiviert”. Das sehe eine Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor (BSI-CS 136). “Sollte dies wider Erwarten nicht der Fall sein, erhalten Nutzer in jedem Fall eine Sicherheitswarnung, bevor ein schadhafter Code ausgeführt wird”, hieß es weiter.

Eins scheint bei Luca Methode zu haben: Bei Sicherheitsproblemen sind immer andere schuld…

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Allgemeines, Internet, Kommentar, Mobilgeräte, News, Programmierung, Sicherheit, Soziales abgelegt und mit , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.