Chaos Computer Club sieht Sicherheitsprobleme bei Luca-App

Am 14.4. auf rbb24​.de.:

»Die Hackervereinigung Chaos Computer Club (CCC) hat gefor­dert, für die neue Luca-App zur Kontaktnachverfolgung kei­ne Steuermittel mehr aus­zu­ge­ben. Bei der App gebe es eine nicht abrei­ßen­de Serie von Sicherheitsproblemen, sag­te CCC-Sprecher Linus Neumann am Mittwoch laut Mitteilung.

Auf die IT-Sicherheitslücken hat­ten zuvor Datenschutz-Aktivisten hin­ge­wie­sen. Vor allem der soge­nann­te Luca-Schlüsselanhänger sei ein Problem. Dieser Schlüsselanhänger soll Menschen ohne Smartphone hel­fen. Allerdings könn­te den Aktivisten zufol­ge damit die Identität jedes Nutzers schnell kopiert und miss­braucht wer­den. "Wer den QR-Code (eines Schlüsselanhängers) scannt, kann nicht nur künf­tig unter Ihrem Namen ein­checken, son­dern auch ein­se­hen, wo Sie bis­her waren", kri­ti­sier­te Neumann.

Luca-Entwickler bestä­ti­gen IT-Sicherheitslücke

Die Schwachstellen sind bei Recherchen zuta­ge getre­ten, die im Netz unter dem Namen "Lucatrack" ver­öf­fent­licht wur­den. Dem CCC zufol­ge ist die Schwachstelle offen­sicht­lich und unnö­tig. Sie zeu­ge von einem fun­da­men­ta­len Unverständnis grund­le­gen­der Prinzipien der IT-Sicherheit, so Neumann.

Die Luca-Kritiker beka­men unter­des­sen öffent­lich­keits­wirk­sam Unterstützung durch den TV-Star Jan Böhmermann. Der ZDF-Moderator for­der­te in der Nacht zu Mittwoch sei­ne Fans auf Twitter auf, sich per QR-Code im Zoo Osnabrück ein­zu­checken. Er woll­te mit sei­ner Störaktion bewei­sen, wie mani­pu­la­ti­ons­an­fäl­lig die Luca-App ist, weil die Anwendung nicht über­prüft, ob die Nutzer beim Einchecken tat­säch­lich vor Ort sind.

Der Entwickler der App, das Berliner Start-up Nexenio, räum­te ein, "dass Dritte, die unbe­fugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jewei­li­ge Kontakthistorie abru­fen konn­ten." Das Unternehmen habe aber auf die Kritik reagiert und die IT-Sicherheitslücke geschlos­sen. Zu kei­ner Zeit sei es mög­lich gewe­sen, die hin­ter­leg­ten Kontaktdaten wie Adresse oder Telefonnummer abzurufen…

Trotz der gro­ßen Sicherheitsbedenken wird die Luca-App bereits in eini­gen Gesundheitsämtern der Region eingerichtet…

Auch in Berlin kann die Luca-App bald flä­chen­deckend ein­ge­setzt wer­den. Die Mitarbeitenden wer­den dem­nach bereits seit Ende März geschult. Ein genau­es Start-Datum nann­te die Berliner Gesundheitsverwaltung auf Nachfrage von rbb|24 nicht. Die Kosten für die Nutzung belau­fen sich nach Angaben des Senats auf rund 1,2 Millionen Euro.

Die Berliner Gesundheitsverwaltung teilt die Bedenken hin­sicht­lich des Datenschutzes nicht…«


Der Link zu Böhmermann führt nicht wei­ter, die Aktion scheint auch schon in der letz­ten Woche statt­ge­fun­den zu haben, der Link funk­tio­niert: https://​www​.rbb24​.de/​p​a​n​o​r​a​m​a​/​t​h​e​m​a​/​c​o​r​o​n​a​/​b​e​i​t​r​a​e​g​e​/​2​0​2​1​/​0​4​/​b​o​e​h​m​e​r​m​a​n​n​-​l​u​c​a​-​a​p​p​-​k​o​n​t​a​k​t​n​a​c​h​v​e​r​f​o​l​g​u​n​g​-​b​e​r​l​i​n​-​b​r​a​n​d​e​n​b​u​r​g​.​h​tml 

10 Antworten auf „Chaos Computer Club sieht Sicherheitsprobleme bei Luca-App“

  1. Und damit lenkt der CCC die Aufmerksamkeit nur auf Dinge die völ­lig neben­säch­lich sind. Die Wahrheit ist dass die­se Anwendung mit oder ohne daten­leck ein Mittel zur Unterdrückung ist. Und was das daten­leck betrifft, es ist der Staat der mit unse­ren Daten Handel treibt

      1. @aa Lieber AA wie­viel müs­sen die­se Lakaien noch "ver­mas­seln, "bevor etwas grund­le­gen­des pas­siert? Reicht es nicht endlich?
        Ich bin ziem­lich ver­zei­felt ob die­ser Situation und kann nichts tun.

  2. "… die Aktion scheint auch schon in der letz­ten Woche statt­ge­fun­den zu haben…"
    Genau, da war die taz schnel­ler: 8.4.21 Luca-Nepp:
    https://​taz​.de/​V​e​r​s​a​g​e​n​-​d​e​r​-​g​e​h​y​p​t​e​n​-​C​o​r​o​n​a​-​A​p​/​!​5​7​5​9​2​24/

    Zur Luca-App hat mein Newsticker den Direktlink zu Pressetext und Demovideo gefunden:
    https://​luca​track​.de/

    Äh, der Link in der Textmitte ".. der ZDF-Moderator" funzt nicht.

    1. … mein gro­ßer Bruder hat mal wie­der, vor lau­ter Verschwörungstheorien, das "s" vergessen … 

      ( … a pro­pos "s" wie Essen : wie lan­ge müs­sen die schle­si­schen Oma-Klöße, nach dem Luftringen an der Oberfläche, noch­mal vor sich 'rum zie­hen ? Darth Vader hin oder her …)

  3. Ich weiß schon­mal eines ganz sicher, die­se möch­te­gern-Rapper von Cola Zero oder wie die­se Luschen sich titu­lie­ren sind defi­ni­tiv durch bei mir, eben­so WWM Jauche. Der Bundes Sepp war noch nie ganz dicht in der Birne. Und das Schätzchen braucht die Rolle halt.

  4. Luca-App: CCC for­dert Bundesnotbremse
    2021-04-13 21:04:42, linus

    Zweifelhaftes Geschäftsmodell, man­gel­haf­te Software, Unregelmäßigkeiten bei der Auftragsvergabe: Der Chaos Computer Club (CCC) for­dert das sofor­ti­ge Ende der staat­li­chen Alimentierung von Smudos Steuer-Millionengrab “Luca-App”.

    In den ver­gan­ge­nen Wochen wur­den ekla­tan­te Mängel in Spezifikation, Implementierung und kor­rek­ter Lizenzierung der Luca-App auf­ge­deckt. Die nicht abrei­ßen­de Serie von Sicherheitsproblemen und die unbe­hol­fe­nen Reaktionen des Herstellers zeu­gen von einem grund­le­gen­den Mangel an Kompetenz und Sorgfalt.

    Dennoch ver­schwen­den immer mehr Länder ohne kor­rek­tes Ausschreibungsverfahren Steuergelder auf das digi­ta­le Heilsversprechen. Mecklenburg-Vorpommern will die Installation sogar zur Voraussetzung der Teilhabe am öffent­li­chen Leben machen.

    Der CCC for­dert ein umge­hen­des Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofor­ti­ges Ende des App-Zwangs. Für den Umgang mit hoch­sen­si­blen Gesundheits- und Bewegungsdaten ver­bie­tet sich der län­der­sub­ven­tio­nier­te Roll-Out unge­prüf­ter Software von selbst.

    Investor Smudo auf Talkshow-Tour
    Eine mehr­mo­na­ti­ge Marketing-Kampagne des Rappers Smudo hat es ermög­licht: Trotz ekla­tan­ter Mängel haben ver­schie­de­ne Bundesländer bis­her mehr als 20 Millionen Euro an Steuergeldern für Lizenzen zur Nutzung der Luca-App inve­stiert. Dabei erfüllt die App kei­nen ein­zi­gen der zehn Prüfsteine des CCCs zur Beurteilung von „Contact Tracing"-Apps.
    Staatlich sub­ven­tio­nier­tes Geschäftsmodell

    Obwohl Steuergelder groß­zü­gig ein­ge­setzt wer­den, ver­blei­ben Daten, App und Infrastruktur selbst­ver­ständ­lich in den Händen der pri­vat­wirt­schaft­li­chen Betreiber. Dabei gel­ten die teu­ren Lizenzen nur für ein Jahr – genug Zeit, um die Luca-App zum de-fac­to-Standard für Einlass-Systeme zu machen. Mecklenburg-Vorpommern hat die Nutzung bereits offi­zi­ell im Rahmen der Infektionsschutzverordnung ver­pflich­tend angeordnet.

    Für die Zeit nach dem steu­er­li­chen Geldregen haben die Eigentümer schon heu­te unge­nier­te Pläne zur wei­te­ren Kommerzialisierung der Kontaktverfolgung: Neben der Anbindung in Ticketing-Systeme hofft man auf brei­te Verbindung mit unter­schied­li­chen Geschäftsmodellen. Die Marke „luca” wur­de mit unter­neh­me­ri­scher Weitsicht unter ande­rem für „Zutrittskontrolle, Besuchermanagement, gedruck­te Eintrittskarten, sowie für die Reservierung von Tickets für Veranstaltungen, ins­be­son­de­re für Kultur- und Sportveranstaltungen, poli­ti­sche Veranstaltungen, Veranstaltungen für Bildungs- und Fortbildungszwecke und für wis­sen­schaft­li­che Tagungen” eingetragen.
    Fragwürdige Vergabepraxis

    Als Spitzenreiter hat das Bundesland Bayern allein 5,5 Mio. Euro für eine Einjahreslizenz aus­ge­ge­ben. Andere Länder wie Baden-Württemberg (3,7 Mio. Euro), Niedersachsen (3,0 Mio. Euro) und Berlin (1,2 Mio. Euro) haben die Lizenzen unter Umgehung der Ausschreibungspflicht erstan­den. Der regie­ren­de Oberbürgermeister von Berlin Müller rühmt sich sogar damit, die Lizenz ohne tech­ni­sche Prüfung erstan­den zu haben. Er habe noch nicht ein­mal mit Smudo gespro­chen und offen­bar­te damit wohl unbe­wusst den Hauptgrund sei­ner Spendierlaune. Kurz nach dem Spontankauf warn­te die Berliner Datenschutzbeauftragte vor „beträcht­li­chen Risiken” bei der Luca-App.
    Alternativen geflis­sent­lich ignoriert

    Dabei ist Luca nicht alter­na­tiv­los: Mehr als drei­ßig Konkurrentinnen lob­by­ie­ren im Bündnis „Wir für Digitalisierung” seit Wochen erfolg­los gegen die Werbemacht des Stuttgarter Rappers Smudo an. „Der Luca-App man­gelt es nicht an Konkurrenzprodukten, die min­de­stens genau­so schlecht sind”, stell­te Linus Neumann, Sprecher des Chaos Computer Clubs, fest.

    Die groß­zü­gi­ge Verschwendung von Steuergeldern wird umso unver­ständ­li­cher, weil die Landesregierungen damit in Konkurrenz zur dezen­tra­len, daten­spar­sa­men und quell­of­fe­nen Corona-Warn-App gehen, die mit dem näch­sten Update eine ver­gleich­ba­re Funktionalität erhal­ten soll. Die vom Bund finan­zier­te Corona-Warn-App hat bereits eine brei­te Nutzungsbasis, wur­de aber nach einem erfolg­rei­chen Start meh­re­re Monate lang nur stief­müt­ter­lich wei­ter­ent­wickelt. Dieses Versäumnis soll nun die pri­vat­wirt­schaft­li­che Luca-App monetarisieren.
    Zweifelhafter Nutzen

    Der Nutzen der App bleibt dabei frag­wür­dig und ihre Anwendungsmöglichkeiten begrenzt. Beispiele im 20 Hektar gro­ßen Osnabrücker Zoo und ver­schie­de­nen IKEA-Filialen erhei­tern seit Tagen das Netz: Ein sinn­vol­ler Beitrag zur Pandemie-Bekämpfung lässt sich auch mit viel Kreativität nicht konstruieren.

    Als beson­de­res Leistungsmerkmal wird die Anbindung an Gesundheitsämter betont. Die Gesundheitsämter sind bis­her jedoch weder durch beson­ders schnel­le Kontaktverfolgung noch durch beson­de­res Interesse an Besuchslisten auf­ge­fal­len: Regelmäßig sind die­se zu umfang­reich und zu unge­nau, um rele­van­te Kontakte zu identifizieren.

    „Impfungen und effek­ti­ve Seuchenschutzmaßnahmen sind die ein­zi­ge sinn­vol­le Möglichkeit, der Pandemie Einhalt zu gebie­ten. Es wür­de mich nicht wun­dern, wenn das digi­ta­le Heilsversprechen Luca-App bald zum Sündenbock für das fort­wäh­ren­de Versagen der Bundes- und Landesregierungen wird”, spe­ku­lier­te Neumann.
    Betreiber grei­fen in zen­tra­len Datenbestand ein

    Ein Team aus inter­na­tio­nal renom­mier­ten Privacy- und Security-Forscherinnen warn­te schon früh in einer acht­zehn­sei­ti­gen „vor­läu­fi­gen Analyse” vor ver­schie­den­sten Missbrauchspotenzialen des zen­tra­len Ansatzes.

    Das zen­tra­li­sier­te Luca-System spei­chert alle Daten bei den Betreibern und ermög­licht dadurch ein Monitoring sämt­li­cher Check-in-Vorgänge in Echtzeit. Das gilt auch für jene Check-ins, die in der App als „pri­vat” gekenn­zeich­net sind. Die Betreiber scheu­en auch nicht davor zurück, in die­se Treffen aktiv ein­zu­grei­fen und sie bei­spiels­wei­se zu löschen.
    Handwerkliche Mängel und Schwachstellen

    Die bis­her gefun­de­nen Schwachstellen und Peinlichkeiten der Luca-App sind ein bun­ter Strauß der Inkompetenz:

    Bei der Registrierung soll die Telefonnummer per SMS „vali­diert” wer­den. Millionen Euro müs­sen ver­schie­de­ne Bundesländer für den Versand auf­brin­gen. Eine hand­werk­lich feh­ler­haf­te Implementierung macht die Validierung jedoch unwirk­sam. Die Folge: Das mas­sen­haf­te Erstellen von Fake-Accounts ist eben­so ein­fach wie deren Check-in an belie­bi­gen Orten. Es droht nicht weni­ger als der Kollaps des kom­plet­ten Luca-Systems.

    Die für Menschen ohne Smartphone zu hun­dert­tau­sen­den ange­schaff­ten Luca-Schlüsselanhänger ver­ra­ten bei jedem Scan die voll­stän­di­ge zen­tral gespei­cher­te Location-Historie. „Wer den QR-Code scannt, kann nicht nur künf­tig unter Ihrem Namen ein­checken, son­dern auch ein­se­hen, wo Sie bis­her so waren”, bestä­tig­te Linus Neumann die heu­te von Bianca Kastl und Tobias Ravenstein ver­öf­fent­lich­te Schwachstelle „Lucatrack”. „Die Schwachstelle ist offen­sicht­lich und unnö­tig. Sie zeugt von einem fun­da­men­ta­len Unverständnis grund­le­gen­der Prinzipien der IT-Sicherheit. Hier wur­de – mal wie­der – mit der hei­ßen Nadel gestrickt, statt eine wohl­über­leg­te Lösung zu bau­en”, so Neumann weiter.

    Entgegen den Versprechungen des Sicherheitskonzepts ist das Luca-Backend poten­zi­ell jeder­zeit in der Lage, ein­zel­ne Geräte ein­deu­tig zu iden­ti­fi­zie­ren und ihnen alle Check-ins zuzuordnen.

    Als Musikant schimpft Smudo gern auf die „Umsonst-Gesellschaft” und die Verletzung von Urheberrechten. Für die Luca-App wur­den jedoch frem­de Software-Komponenten unter drei­ster Missachtung der Lizenzbedingungen ver­wen­det. Ein „bedau­er­li­cher Fehler", der pro­fes­sio­nel­len Programmierern ein­fach nicht passiert.

    Bis heu­te ist nur ein Teil des Quellcodes des Gesamtsystems öffent­lich. Inwieweit die­ser Teil über­haupt noch mit der pro­duk­ti­ven Umgebung über­ein­stimmt, ist unklar.

    Die App erfüllt Mindeststandards der Barrierefreiheit nicht. Der App-Zwang stellt eine beson­ders schwe­re Form der Diskriminierung dar.

    CCC for­dert sofor­ti­gen Stopp und lücken­lo­se Aufklärung

    Die zwie­lich­ti­ge Vergabepraxis zeugt besten­falls von der Strahlkraft des Rappers Smudo, der bis­her nicht als Programmierer oder Datenschützer auf­ge­fal­len war: Dem Investor der culture4life GmbH, die die Luca-App in Windeseile aus dem Boden gestampft hat, ist es bin­nen Monaten gelun­gen, Millionen für ein unrei­fes und untaug­li­ches Produkt ein­zu­wer­ben. Dabei ver­gisst Investor Smudo gern zu erwäh­nen, dass er mit über 22% am Unternehmen betei­ligt ist, also nicht ohne beträcht­li­chen Eigennutz für die Luca-App wirbt.

    „Die Luca-App ist nicht der ein­zi­ge Fall, bei dem COVID-Glücksritter weit über ein ange­mes­se­nes Niveau hin­aus Kapital aus der Pandemie schla­gen”, sag­te Linus Neumann. „Die Maskenaffäre wur­de gera­de erst erfolg­reich unter den Teppich gekehrt. Um einem wei­te­ren Vertrauensverlust in die Politik Einhalt zu gebie­ten, muss nun lücken­los auf­ge­klärt wer­den, wie es zu der zwei­fel­haf­ten Vergabe kam”, so Neumann weiter.

    https://​www​.ccc​.de/​d​e​/​u​p​d​a​t​e​s​/​2​0​2​1​/​l​u​c​a​-​a​p​p​-​c​c​c​-​f​o​r​d​e​r​t​-​b​u​n​d​e​s​n​o​t​b​r​e​mse

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert