Sicherheitslücke verstärkt die Zweifel am Luca-System

Schon wieder haben Sicherheitsforscher neue Probleme in der Luca-App entdeckt. In der Bar mit Luca eingecheckt ? Durch eine weitere Sicherheitslücke konnten auch Unbefugte erfahren, wo sich die Benutzer der App aufhalten.

Wozu dient die Luca-App?

Die Luca-App ist eine mobile Anwendung zur Nachverfolgung von Corona-Kontakten. Die App soll die Anmeldung bei Veranstaltungen, Restaurantbesuchen oder privaten Treffen per QR-Code ermöglichen. Wenn bekannt wird, dass eine teilnehmende Person infiziert war, können die Gesundheitsämter alle zu dieser Zeit angemeldeten Nutzer warnen. Durch eine doppelte Verschlüsselung soll der unberechtigte Zugriff auf die Daten verhindert werden.

Leider werden aber fast täglich neue Probleme mit der App gemeldet, so dass inzwischen Sicherheitsforscher, Datenschützer und auch der CCC schon fordern, diese App nicht länger zu nutzen.

Eigentlich sollte die Luca-App die Kontaktnachverfolgung mit Zetteln und Listen ersetzen. Aber beim Luca-System häuften sich in den vergangenen Wochen Berichte über Programmierfehler, unklare Lizenzvereinbarungen und problematische Datenschutzvorkehrungen. Schon vor Ostern war bekanntgeworden, dass es schwere Mängel bei der Registrierung der Schlüsselanhänger gab. Die konnten nämlich ohne Registrierung genutzt werden und selbst die Freischaltung über eine Transaktionsnummer (TAN) soll mit einer beliebigen sechsstelligen Zahl möglich sein.

Die nächste Sicherheitslücke der problematischen Kontakt-App Luca

Sicherheitsforscher warnten gestern vor einer neu bekannt gewordenen, gravierenden Sicherheitslücke beim Kontaktnachverfolgungssystem Luca. Mit dem Foto eines fremden Schlüsselanhängers, der im Luca-System parallel zur Luca-App verwendet wird, lasse sich mit einfachsten Programmierkenntnissen unbemerkt das Bewegungsprofil des Nutzers auslesen, teilte heute das Team Luca-Track mit.

Die Gruppe forderte die Verantwortlichen jetzt auch dazu auf, über 100.000 schon im Umlauf befindliche Luca-Schlüsselanhänger aus dem Verkehr zu ziehen, um so die Ausnutzung dieser Sicherheitslücke zu verhindern.

Auslesen fremder Luca-Historien über Web-Anwendungen

Laut Luca-Track lassen sich die Registrierungsinformationen der Schlüsselanhänger, die in einem QR-Code gespeichert sind, aus Luca’s  Scanner-Anwendung auslesen. Der Scanner lässt sich über eine Internetseite nutzen, die für Veranstalter bereitgestellt wird und sich in jedem üblichen Browser aufrufen lässt.

„Durch Setzen eines simplen Breakpoints (eines Haltepunkts, der Diagnoseinformationen ausgibt) im Browser lassen sich die Registrierungsinformationen eines beliebigen Schlüsselanhängers problemlos beim Scan auslesen“, erläutern die Sicherheitsforscher von Luca-Track weiter.

Diese Informationen ließen sich über eine Web-App von Luca nach einer simplen Anpassung wieder einspielen. Dadurch zeige die Web-App die komplette vorherige Historie des Nutzers, dessen Registrierungsinformationen abfotografiert wurden. Mit einem Python-Script sei das Aufrufen der Historie sogar noch einfacher möglich, demonstrierte Luca-Track in einem Video.

Was kann man alles von Fremden Accounts auslesen?

Dabei würden genaue Geo-Koordinaten aller registrierten Orte und die Adressen der Check-ins angezeigt, inklusive der genauen Zeit der Check-ins an allen Orten. Die hinterlegten Personendaten konnten dabei nicht direkt extrahiert werden.

Die Behauptung von Luca, nach der „nur das Gesundheitsamt“ die Kontakthistorie anfragen und entschlüsseln könne, treffe deshalb nicht zu. Das Team von Luca-Track empfiehlt genau wie auch der CCC, alle Schlüsselanhänger „fachgerecht zu entsorgen“.

Nach den Angaben der Luca-Betreiber in ihrer FAQ werden die Schlüsselanhänger teilweise von Gemeinden und Landkreisen vertrieben, und von Ende April an sollen sie auch über den Webshop von Luca bestellt werden können.

CCC fordert ein Moratorium und eine Bundesnotbremse

Wegen der anhaltenden massiven Probleme mit dem Luca-System forderte der Chaos Computer Club (CCC) schon gestern eine „Bundesnotbremse“ für die Lizenzierung der App durch die Länder„In den vergangenen Wochen wurden eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung der Luca-App aufgedeckt. Die nicht abreißende Serie von Sicherheitsproblemen und die unbeholfenen Reaktionen des Herstellers zeugen von einem grundlegenden Mangel an Kompetenz und Sorgfalt“schrieb der CCC.

Deshalb fordere der CCC „ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs“. Beim Umgang mit den hochsensiblen Gesundheits- und Bewegungsdaten der Benutzer verbiete sich der ländersubventionierte Roll-out ungeprüfter Software im Grunde von selbst.

Inzwischen gaben 13 Bundesländer insgesamt schon fast 20 Millionen Euro für die Lizenzierung der App aus. Die höchsten Gebühren zahlte das Land Bayern mit 5,5 Millionen Euro für eine Jahreslizenz. Mecklenburg-Vorpommern, das als erstes Bundesland einen Vertrag mit dem App-Betreiber Culture4life abgeschlossen hatte, zahlte allerdings nur 440.000 Euro – eine Wellenbrecher-Prämie? Die Hauptstadt Berlin ließ sich die Luca-Lizenz eine Million Euro kosten.

Immer wieder Probleme mit der Luca-App

Rund um die Luca-App tauchten in den vergangenen Tagen immer wieder kleine und größere Probleme und Lücken auf. So kann man sich von beliebigen Orten aus per Luca bei Veranstaltungen einchecken. Notwendig ist dafür lediglich der QR-Code. Ebenfalls sind etwa die API-Endpunkte case-insensitive, so dass die darüber umgesetzte zeitweise Sperrung beziehungsweise ein Rate-Limiting leicht umgangen werden kann. Dazu reicht es offenbar aus, aus einem der kleingeschriebenen Buchstaben in der URL einen Großbuchstaben zu machen. Das CCC-Mitglied und Teil der AG-Kritis, Manuel Atug alias Honkhase, sammelt seit Tagen derartige Meldungen zu Luca in einem ausführlichen Thread auf Twitter. Inzwischen trug Atug mehr als 250 einzelne Hinweise zusammen.

Zuletzt forderte auch der Hamburgische Datenschützer Johannes Caspar eine datenschutzrechtliche Bewertung. Das Gesamtsystem der Luca-App steht außerdem bis heute nicht unter Open Source und ist damit auch nicht unabhängig überprüfbar.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Allgemeines, Fotografie, Mobilgeräte, News, Politik, Programmierung, Recht, Sicherheit, Soziales abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.