Corona-Tracking: Luca-Überwachung lässt sich mit Fake-Datenmüll aushebeln

»Mit einem Fake-Pro­gramm lässt sich die Luca-App leicht aus­trick­sen. Nut­zer bekom­men davon nichts mit, Behör­den kön­nen mit den Daten nichts anfangen.«

Das ist am 29.4. zu ler­nen auf hei​se​.de:

»Inzwi­schen ist die Luca-App zur Kon­takt-Nach­ver­fol­gung in der Coro­na-Pan­de­mie für man­che Modell­re­gio­nen als ver­pflich­tend ange­zeigt – aber lei­der ist die Imple­men­tie­rung voll mit IT-Kon­zept­feh­lern: Man kann sich leicht mit einer Fake-App ein­che­cken, wel­che aber nicht zum Nach­ver­fol­gen zu gebrau­chen ist. Sieht aus wie eine Luca-App, ist aber eine „gehack­te“ Anony­mus- oder Off­line-Ver­si­on, die im bes­ten Fall nur Daten­müll übermittelt.

Fol­gen­de Anwen­dungs­fäl­le soll die App unterstützen:

      • Regis­trie­rung beim Luca Ser­ver: Der Benut­zer gibt sei­ne Tele­fon­num­mer, Name und Adres­se ein. Die­se wird an den Luca-Ser­ver geschickt; abge­si­chert mit SMS-TAN.
      • Loca­ti­on: Selbst ein­che­cken: Der Nut­zer scannt einen QR-Code am Ein­gang. Im Sys­tem der Loca­ti­on wird der Besu­cher­zäh­ler inkre­men­tiert und in der App erscheint „ein­ge­checkt“.
      • Loca­ti­on: Ein­che­cken las­sen: Die Loca­ti­on hat einen Scan­ner – geht mit der Web­cam über eine Web­sei­te – und scannt damit den QR-Code, den die Luca App anzeigt. Im Sys­tem der Loca­ti­on wird der Zäh­ler auch inkre­men­tiert und in der App erscheint „ein­ge­checkt“.
      • Pri­va­tes Tref­fen erstel­len: Das Tref­fen wird auf den Luca-Ser­vern regis­triert. Es erscheint ein Bar­code, den Besu­cher scan­nen können.
      • Ein­che­cken im pri­va­ten Tref­fen: Man scannt den Bar­code des Tref­fens. In der App erscheint ein­ge­checkt; auf dem Han­dy des Tref­fens geht der Zäh­ler um die Gäs­te­zahl hoch und der Name des Besu­chers erscheint…

Im Inter­net kur­sie­ren klei­ne Skrip­te, mit denen man die Ein­lass­kon­trol­le von soge­nann­ten "Luca Loca­ti­ons" aus­trick­sen kann, ohne sich jemals regis­triert zu haben. Dies woll­te der Sicher­heits­exper­te im Quell­text nach­prü­fen. Hier fand er schnell her­aus, wo und wie die Kom­mu­ni­ka­ti­on mit den Luca-Ser­vern erfolgt.

Erschre­cken­der­wei­se muss­te Herr Huwig fest­stel­len, dass die Ent­wick­ler kei­ner­lei Sicher­heits­me­cha­nis­men ver­se­hen, die erken­nen, ob jemand einen ech­ten Luca-Bar­code oder einen frei erfun­de­nen prä­sen­tiert. Das ist in etwa so, als wür­de jeder sich eige­ne Auto­kenn­zei­chen erstel­len kön­nen und damit belie­big durch Blit­zer fah­ren, ohne jemals belangt wer­den zu können.

Daher hat er die App dahin­ge­hend modi­fi­ziert, dass die­se Luca-Fake-Anwen­dung in zwei neu­en Modi betreib­bar ist: Mit "Anonym" regis­triert sich die App nicht bei den Luca-Ser­vern, son­dern erstellt sich beim Star­ten selbst eine zufäl­li­ge Ken­nung und wech­selt sie ständig.

Mit die­ser Ken­nung kann sich der Nut­zer an jeder Luca Loca­ti­on anmel­den und sogar pri­va­te Tref­fen erstel­len. Für Außen­ste­hen­de ist die Mani­pu­la­ti­on nicht erkenn­bar, denn die App ver­hält sich wie die rich­ti­ge: Der Besu­cher­zäh­ler einer Luca Loca­ti­on geht hoch, sobald der Nut­zer den Bar­code der Loca­ti­on scannt und auch, wenn der Betrei­ber den Bar­code der App selbst scannt.

Die Mani­pu­la­ti­on lässt sich erst fest­stel­len, wenn das Gesund­heits­amt ver­sucht, auf die Daten zuzu­grei­fen und dann nur digi­ta­len Müll erhält – genau­er "Benut­zer unbekannt".

Im zwei­ten Modus arbei­tet die App kom­plett off­line, kon­tak­tiert also nie­mals die Luca-Ser­ver. Dies wäre für den Betrei­ber einer Luca Loca­ti­on fest­stell­bar, wenn er nach dem Scan des Anwen­ders über­prüft, ob der Besu­cher­zäh­ler inkre­men­tiert wird – was aber in der Pra­xis wohl kaum der Fall ist, wenn ledig­lich ein Bar­code am Ein­gang klebt.

Scannt er den mani­pu­lier­ten Bar­code der App selbst, erhöht sich sogar sein Besu­cher­zäh­ler ord­nungs­ge­mäß – ledig­lich die App mel­det nicht, dass sie ein­ge­checkt ist: Sie bekommt die­se Akti­on gar nicht mit, aber das kann man immer auf eine insta­bi­le Daten­ver­bin­dung des Han­dys schieben.

Es ist erstaun­lich ein­fach, das Luca-Sys­tem kom­plett aus­zu­he­beln, und zwar so, dass es für die Betrei­ber von Luca Loca­ti­ons nicht mög­lich ist, die­se Mani­pu­la­ti­on fest­zu­stel­len. Das Sys­tem ist damit sogar weni­ger sicher als Papier­zet­tel, denn da kann er Betrei­ber prü­fen, ob alles kor­rekt aus­ge­füllt wur­de. Tech­ni­sche Details zu den Schwach­stel­len fin­den sich eben­falls auf Git­Hub.«

18 Antworten auf „Corona-Tracking: Luca-Überwachung lässt sich mit Fake-Datenmüll aushebeln“

  1. [Update 29.04.2021 13.55 Uhr] Die Luca-Macher äußern Bedauern, dass sie erst aus der Presse von der Stellungnahme der Sicherheitsforscher erfahren haben. Sie wollen sich mit den Vorwürfen auseinandersetzen und dann ausführlich Stellung beziehen.

    Zunächst gehen sie auf die vier Kriterien ein. Da heißt es, dass die Zweckbindung in der DSGVO geregelt sei – und nur der Kontaktnachverfolgung durch die Gesundheitsämter diene. Der Quellcode aller Komponenten sei transparent. Die Freiwilligkeit der Nutzung sei in den Verordnungen der Bundesländer vorgesehen. Zum Thema Risikoabwägung verweisen die Macher, Culture4Life, auf Stellungnahmen von Wissenschaftlern und eine vom ifo Institut, in denen die Wichtigkeit der Kontaktnachverfolgung betont wird.

    Dies wird von den Sicherheitsforschern gar nicht in Abrede gestellt – ganz im Gegenteil fordern auch sie eine Nachverfolgung. Sie wenden sich allerdings gegen die Nutzung der Luca-App für die Kontaktverfolgung und begründen dies mit den Schwachstellen des Systems, und der einhergehenden Probleme für die Gesundheitsämter. Auch sprechen sie von einem "de facto" Nutzungszwang und nicht davon, dass dieser in Verordnungen niedergeschrieben sei.
    https://www.heise.de/news/Sicherheitsforscher-Risiken-der-Luca-App-voellig-unverhaeltnismaessig-6031770.html

  2. Auf­ge­pickt …

    Künf­tig könn­ten selbst gra­vie­ren­de Frei­heits­ein­bu­ßen zum Schutz des Kli­mas ver­hält­nis­mä­ßig und ver­fas­sungs­recht­lich gerecht­fer­tigt sein, erläu­ter­ten die Rich­ter. Zwar müss­ten die Grund­rech­te abge­wo­gen wer­den. Aber: "Dabei nimmt das rela­ti­ve Gewicht des Kli­ma­schutz­ge­bots in der Abwä­gung bei fort­schrei­ten­dem Kli­ma­wan­del wei­ter zu."
    https://​www​.hei​se​.de/​n​e​w​s​/​V​e​r​f​a​s​s​u​n​g​s​g​e​r​i​c​h​t​-​K​l​i​m​a​s​c​h​u​t​z​g​e​s​e​t​z​-​v​e​r​l​e​t​z​t​-​F​r​e​i​h​e​i​t​s​r​e​c​h​t​e​-​j​u​e​n​g​e​r​e​r​-​M​e​n​s​c​h​e​n​-​6​0​3​1​6​2​4​.​h​tml

    1. @some1: Für das Ver­ständ­nis för­der­lich ist der Satz davor: »Es dür­fe nicht einer Gene­ra­ti­on zuge­stan­den wer­den, "unter ver­gleichs­wei­se mil­der Reduk­ti­ons­last gro­ße Tei­le des CO2-Bud­gets zu ver­brau­chen, wenn damit zugleich den nach­fol­gen­den Gene­ra­tio­nen eine radi­ka­le Reduk­ti­ons­last über­las­sen und deren Leben umfas­sen­den Frei­heits­ein­bu­ßen aus­ge­setzt würde".«

      1. @aa Das ist dann wie mit dem Imp­fen, oder? Wenn nicht alle mehr­fach geimpft sind, sind sie schuld an den vol­len Inten­siv­sta­tio­nen? Dass die voll sind, ist ja klar! Wür­de unse­re Regie­rung und die Ver­trags­part­ner der­sel­ben denn JEMALS die Bevöl­ke­rung belü­gen? Wenigs­tens sind Sie ehr­lich: Lock­down für das Kli­ma, aber nicht für dat Virus. 😀 Träumchen.

        1. @some1: Auch das mögen Sie mir in den Mund legen. Habe ich aller­dings weder gesagt noch mei­ne ich das. Da Sie nun seit gerau­mer Zeit die­sen Blog ver­fol­gen, soll­ten Sie bemerkt haben, daß ich der Regie­rung nicht vertraue.

          1. @aa Auch das mögen Sie mir in den Mund legen. Wie mei­nen? Schwar­ze Rhe­to­rik – Sie können's nicht lassen.

            Es ist doch die sel­be Regie­rung, die von einem "Co2-Bud­get" redet, um das sich die dem Ver­neh­men nach "jun­gen" Klä­ger hier zan­ken, die auch mit dem Virus die Gen­ex­pe­ri­men­te an Mensch und Natur vor­an­treibt, oder nicht? Ich habe mich im Übri­gen mit dem Kli­ma-The­ma (noch) nicht befasst, weil die Dis­kus­si­on dar­über und die "Ver­tei­lung" eines Umwelt­bud­gets mir wider­steht: das ist, als wür­de man drü­ber ver­han­deln, wer den Groß­va­ter auf­es­sen darf, wenn er tot ist und wie­viel davon man halt­bar macht für spä­te­re Gene­ra­tio­nen. Es soll­te ein ande­res Bedürf­nis sein als Gier, dem der Umgang mit Mensch und Umwelt entspringt.

  3. Smu­do: Heu­te Nacht musst du noch schnell dei­ne Kne­te aus die­sem Grab holen, mor­gen Mit­tag wird sich dei­ne Koh­le in Nichts auf­ge­löst haben.

  4. Der QR-Code kann foto­gra­fiert, belie­big oft kopiert, wei­ter­ge­ge­ben und von jedem Ort der Welt benutzt wer­den. Beweis­wert = 0.
    Ein grund­le­gen­des Pro­blem, wel­ches nicht besei­tigt wer­den kann.
    Kann im Fal­le "selbst ein­che­cken" der Betrei­ber der Loca­ti­on über­haupt kon­trol­lie­ren ob der Nut­zer am Ein­gang den QR-Code tat­säch­lich scannt oder ob er sein Smart­phone nur zum Schein vor den QR-Code hält? Er müss­te stän­dig die tat­säch­li­che Zahl der Besu­cher mit der Besu­cher­zahl in sei­nem Sys­tem abglei­chen und bei Unstim­mig­keit her­aus­fin­den wer da gemo­gelt hat.

    1. @ Que­ru­lan­ti­no

      Wohl wahr.
      Lei­der ist zu beob­ach­ten, dass es unfass­bar vie­le Men­a­chen gibt, die lieb und brav mit der Per­son an der Ein­gangs­kon­trol­le auch nich dis­ku­tie­ren, ob ihr Ein­log­gen per Scan auch geklappt hat usw.

      Ich bin glück­li­cher­wei­se schon Anfang 2020 auf mein altes Nokia C3 umge­stie­gen Das hat hohen Unter­hal­tungs­wert! ("Was? Die gibt's noch?"). Und die Geschäf­te in denen ich bis­her war, woll­ten auf ihren Umsatz mit Nicht-Smart­phone­be­sit­ze­rin­nen trotz­dem nicht ver­zich­ten und haben ein For­mu­lar zum Aus­fül­len ange­bo­ten. Das macht rich­tig Spaß, da kom­men mei­ne mul­ti­plen Per­sön­lich­kei­ten voll zum Tragen! 😉

    1. Wohin soll man sie denn sonst hän­gen, an dei­ne klei­nen Glo­cken etwa?
      Schö­ner Name übri­gens: Zapa­ta Gag. Du soll­test anfan­gen, dei­nem Namen Ehre zu machen, gute Gags wer­den gebraucht in die­sen Zeiten!

      1. Bit­te die Gür­tel­li­nie respektieren.
        Glo­cken sind bekannt­lich multidivers 😉
        Zur Sache: natür­lich kann man das hier schrei­ben, jeder kann sich ein altes Tele­fon nehmen/kaufen/reaktivieren und auf einem Zet­tel mul­ti­ple Per­sön­lich­kei­ten elaborieren.
        Das muß man doch eigent­lich nie­man­dem mehr sagen!!! Wer da nicht selbst drauf kommt, ist doof.

        1. Die eigent­li­che Fra­ge ist doch eher: Will ich, dass die­ser gan­ze digi­ta­le Scheiß mein Leben bestimmt? Wo endet das?
          Sie kön­nen sich kein Dach über´m Kopf und kein Essen leis­ten? Kein Pro­blem! Woh­nen und Essen Sie vir­tu­ell, ver­ges­sen Sie ihren Leib. Nach 4 bis 6 Wochen sind Sie ihn für immer los!

  5. Gemein­sa­me Akti­on von Geschäfts­leu­ten in der Fuß­gän­ger­zo­ne Coro­na-Pro­test in Andernach:
    Bou­tique ver­kauft jetzt auch Lebensmittel

    STAND 30.4.2021, 14:47 Uhr

    Wegen Coro­na kön­nen Ein­zel­händ­ler ihre Waren nur unter strik­ten Auf­la­gen ver­kau­fen, anders als Super­märk­te und Discounter.
    Sie­ben Geschäfts­leu­te aus Ander­nach ver­kau­fen des­halb jetzt auch Lebens­mit­tel – aus Protest.
    https://​www​.swr​.de/​s​w​r​a​k​t​u​e​l​l​/​r​h​e​i​n​l​a​n​d​-​p​f​a​l​z​/​k​o​b​l​e​n​z​/​a​n​d​e​r​n​a​c​h​-​p​r​o​t​e​s​t​-​g​e​g​e​n​-​c​o​r​o​n​a​-​l​e​b​e​n​s​m​i​t​t​e​l​-​i​n​-​b​o​u​t​i​q​u​e​-​1​0​0​.​h​tml

  6. Mei­ne Mei­nung: Risi­ken grö­ßer als Nutzen

    Die Lan­des­be­auf­trag­te für den Daten­schutz (LfD) Nie­der­sach­sen, Bar­ba­ra Thiel,…

    Wei­te­re Risi­ken birgt die zen­tra­le Daten­hal­tung des Sys­tems, die nicht alle durch die ein­ge­setz­ten zwei­stu­fi­gen Ver­schlüs­se­lungs-mecha­nis­men voll­stän­dig aus­ge­räumt werden.
    Ein qua­li­fi­zier­ter Angriff gegen die zen­tra­len IT-Sys­te­me des Diens­tes könn­te dazu füh­ren, dass die Angrei­fen­den im schlimms­ten Fall in gro­ßem Umfang Daten über die Anwe­sen­heit von Per­so­nen bei Ver­an­stal­tun­gen ent­schlüs­seln und aus­lei­ten können.

    "Gleich­zei­tig rate ich aber dazu, sich nicht aus­schließ­lich auf ‚Luca‘ zu fokus­sie­ren, son­dern auch ande­re Sys­te­me in den Blick zu nehmen.“ 

    https://​www​.daten​schutz​kon​fe​renz​-online​.de/​m​e​d​i​a​/​s​t​/​2​0​2​1​0​4​2​9​_​D​S​K​_​S​t​e​l​l​u​n​g​n​a​h​m​e​_​L​U​C​A​.​pdf

    https://​www​.daten​schutz​.de/​l​u​c​a​-​m​i​t​-​g​r​u​n​d​s​a​e​t​z​l​i​c​h​-​t​r​a​g​f​a​e​h​i​g​e​r​-​k​o​n​z​e​p​t​i​o​n​-​a​b​e​r​-​w​e​i​t​e​r​e​-​s​c​h​u​t​z​m​a​s​s​n​a​h​m​e​n​-​n​o​e​t​ig/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.