Corona-Tracking: Luca-Überwachung lässt sich mit Fake-Datenmüll aushebeln

»Mit einem Fake-Programm lässt sich die Luca-App leicht aus­trick­sen. Nutzer bekom­men davon nichts mit, Behörden kön­nen mit den Daten nichts anfangen.«

Das ist am 29.4. zu ler­nen auf heise.de:

»Inzwischen ist die Luca-App zur Kontakt-Nachverfolgung in der Corona-Pandemie für man­che Modellregionen als ver­pflich­tend ange­zeigt – aber lei­der ist die Implementierung voll mit IT-Konzeptfehlern: Man kann sich leicht mit einer Fake-App ein­che­cken, wel­che aber nicht zum Nachverfolgen zu gebrau­chen ist. Sieht aus wie eine Luca-App, ist aber eine „gehack­te“ Anonymus- oder Offline-Version, die im bes­ten Fall nur Datenmüll übermittelt.

Folgende Anwendungsfälle soll die App unterstützen:

      • Registrierung beim Luca Server: Der Benutzer gibt sei­ne Telefonnummer, Name und Adresse ein. Diese wird an den Luca-Server geschickt; abge­si­chert mit SMS-TAN.
      • Location: Selbst ein­che­cken: Der Nutzer scannt einen QR-Code am Eingang. Im System der Location wird der Besucherzähler inkre­men­tiert und in der App erscheint „ein­ge­checkt“.
      • Location: Einchecken las­sen: Die Location hat einen Scanner – geht mit der Webcam über eine Webseite – und scannt damit den QR-Code, den die Luca App anzeigt. Im System der Location wird der Zähler auch inkre­men­tiert und in der App erscheint „ein­ge­checkt“.
      • Privates Treffen erstel­len: Das Treffen wird auf den Luca-Servern regis­triert. Es erscheint ein Barcode, den Besucher scan­nen können.
      • Einchecken im pri­va­ten Treffen: Man scannt den Barcode des Treffens. In der App erscheint ein­ge­checkt; auf dem Handy des Treffens geht der Zähler um die Gästezahl hoch und der Name des Besuchers erscheint…

Im Internet kur­sie­ren klei­ne Skripte, mit denen man die Einlasskontrolle von soge­nann­ten "Luca Locations" aus­trick­sen kann, ohne sich jemals regis­triert zu haben. Dies woll­te der Sicherheitsexperte im Quelltext nach­prü­fen. Hier fand er schnell her­aus, wo und wie die Kommunikation mit den Luca-Servern erfolgt.

Erschreckenderweise muss­te Herr Huwig fest­stel­len, dass die Entwickler kei­ner­lei Sicherheitsmechanismen ver­se­hen, die erken­nen, ob jemand einen ech­ten Luca-Barcode oder einen frei erfun­de­nen prä­sen­tiert. Das ist in etwa so, als wür­de jeder sich eige­ne Autokennzeichen erstel­len kön­nen und damit belie­big durch Blitzer fah­ren, ohne jemals belangt wer­den zu können.

Daher hat er die App dahin­ge­hend modi­fi­ziert, dass die­se Luca-Fake-Anwendung in zwei neu­en Modi betreib­bar ist: Mit "Anonym" regis­triert sich die App nicht bei den Luca-Servern, son­dern erstellt sich beim Starten selbst eine zufäl­li­ge Kennung und wech­selt sie ständig.

Mit die­ser Kennung kann sich der Nutzer an jeder Luca Location anmel­den und sogar pri­va­te Treffen erstel­len. Für Außenstehende ist die Manipulation nicht erkenn­bar, denn die App ver­hält sich wie die rich­ti­ge: Der Besucherzähler einer Luca Location geht hoch, sobald der Nutzer den Barcode der Location scannt und auch, wenn der Betreiber den Barcode der App selbst scannt.

Die Manipulation lässt sich erst fest­stel­len, wenn das Gesundheitsamt ver­sucht, auf die Daten zuzu­grei­fen und dann nur digi­ta­len Müll erhält – genau­er "Benutzer unbekannt".

Im zwei­ten Modus arbei­tet die App kom­plett off­line, kon­tak­tiert also nie­mals die Luca-Server. Dies wäre für den Betreiber einer Luca Location fest­stell­bar, wenn er nach dem Scan des Anwenders über­prüft, ob der Besucherzähler inkre­men­tiert wird – was aber in der Praxis wohl kaum der Fall ist, wenn ledig­lich ein Barcode am Eingang klebt.

Scannt er den mani­pu­lier­ten Barcode der App selbst, erhöht sich sogar sein Besucherzähler ord­nungs­ge­mäß – ledig­lich die App mel­det nicht, dass sie ein­ge­checkt ist: Sie bekommt die­se Aktion gar nicht mit, aber das kann man immer auf eine insta­bi­le Datenverbindung des Handys schieben.

Es ist erstaun­lich ein­fach, das Luca-System kom­plett aus­zu­he­beln, und zwar so, dass es für die Betreiber von Luca Locations nicht mög­lich ist, die­se Manipulation fest­zu­stel­len. Das System ist damit sogar weni­ger sicher als Papierzettel, denn da kann er Betreiber prü­fen, ob alles kor­rekt aus­ge­füllt wur­de. Technische Details zu den Schwachstellen fin­den sich eben­falls auf GitHub.«

18 Antworten auf „Corona-Tracking: Luca-Überwachung lässt sich mit Fake-Datenmüll aushebeln“

  1. [Update 29.04.2021 13.55 Uhr] Die Luca-Macher äußern Bedauern, dass sie erst aus der Presse von der Stellungnahme der Sicherheitsforscher erfahren haben. Sie wollen sich mit den Vorwürfen auseinandersetzen und dann ausführlich Stellung beziehen.

    Zunächst gehen sie auf die vier Kriterien ein. Da heißt es, dass die Zweckbindung in der DSGVO geregelt sei – und nur der Kontaktnachverfolgung durch die Gesundheitsämter diene. Der Quellcode aller Komponenten sei transparent. Die Freiwilligkeit der Nutzung sei in den Verordnungen der Bundesländer vorgesehen. Zum Thema Risikoabwägung verweisen die Macher, Culture4Life, auf Stellungnahmen von Wissenschaftlern und eine vom ifo Institut, in denen die Wichtigkeit der Kontaktnachverfolgung betont wird.

    Dies wird von den Sicherheitsforschern gar nicht in Abrede gestellt – ganz im Gegenteil fordern auch sie eine Nachverfolgung. Sie wenden sich allerdings gegen die Nutzung der Luca-App für die Kontaktverfolgung und begründen dies mit den Schwachstellen des Systems, und der einhergehenden Probleme für die Gesundheitsämter. Auch sprechen sie von einem "de facto" Nutzungszwang und nicht davon, dass dieser in Verordnungen niedergeschrieben sei.
    https://www.heise.de/news/Sicherheitsforscher-Risiken-der-Luca-App-voellig-unverhaeltnismaessig-6031770.html

  2. Aufgepickt …

    Künftig könn­ten selbst gra­vie­ren­de Freiheitseinbußen zum Schutz des Klimas ver­hält­nis­mä­ßig und ver­fas­sungs­recht­lich gerecht­fer­tigt sein, erläu­ter­ten die Richter. Zwar müss­ten die Grundrechte abge­wo­gen wer­den. Aber: "Dabei nimmt das rela­ti­ve Gewicht des Klimaschutzgebots in der Abwägung bei fort­schrei­ten­dem Klimawandel wei­ter zu."
    https://www.heise.de/news/Verfassungsgericht-Klimaschutzgesetz-verletzt-Freiheitsrechte-juengerer-Menschen-6031624.html

    1. @some1: Für das Verständnis för­der­lich ist der Satz davor: »Es dür­fe nicht einer Generation zuge­stan­den wer­den, "unter ver­gleichs­wei­se mil­der Reduktionslast gro­ße Teile des CO2-Budgets zu ver­brau­chen, wenn damit zugleich den nach­fol­gen­den Generationen eine radi­ka­le Reduktionslast über­las­sen und deren Leben umfas­sen­den Freiheitseinbußen aus­ge­setzt würde".«

      1. @aa Das ist dann wie mit dem Impfen, oder? Wenn nicht alle mehr­fach geimpft sind, sind sie schuld an den vol­len Intensivstationen? Dass die voll sind, ist ja klar! Würde unse­re Regierung und die Vertragspartner der­sel­ben denn JEMALS die Bevölkerung belü­gen? Wenigstens sind Sie ehr­lich: Lockdown für das Klima, aber nicht für dat Virus. 😀 Träumchen.

        1. @some1: Auch das mögen Sie mir in den Mund legen. Habe ich aller­dings weder gesagt noch mei­ne ich das. Da Sie nun seit gerau­mer Zeit die­sen Blog ver­fol­gen, soll­ten Sie bemerkt haben, daß ich der Regierung nicht vertraue.

          1. @aa Auch das mögen Sie mir in den Mund legen. Wie mei­nen? Schwarze Rhetorik – Sie können's nicht lassen.

            Es ist doch die sel­be Regierung, die von einem "Co2-Budget" redet, um das sich die dem Vernehmen nach "jun­gen" Kläger hier zan­ken, die auch mit dem Virus die Genexperimente an Mensch und Natur vor­an­treibt, oder nicht? Ich habe mich im Übrigen mit dem Klima-Thema (noch) nicht befasst, weil die Diskussion dar­über und die "Verteilung" eines Umweltbudgets mir wider­steht: das ist, als wür­de man drü­ber ver­han­deln, wer den Großvater auf­es­sen darf, wenn er tot ist und wie­viel davon man halt­bar macht für spä­te­re Generationen. Es soll­te ein ande­res Bedürfnis sein als Gier, dem der Umgang mit Mensch und Umwelt entspringt.

  3. Smudo: Heute Nacht musst du noch schnell dei­ne Knete aus die­sem Grab holen, mor­gen Mittag wird sich dei­ne Kohle in Nichts auf­ge­löst haben.

  4. Der QR-Code kann foto­gra­fiert, belie­big oft kopiert, wei­ter­ge­ge­ben und von jedem Ort der Welt benutzt wer­den. Beweiswert = 0.
    Ein grund­le­gen­des Problem, wel­ches nicht besei­tigt wer­den kann.
    Kann im Falle "selbst ein­che­cken" der Betreiber der Location über­haupt kon­trol­lie­ren ob der Nutzer am Eingang den QR-Code tat­säch­lich scannt oder ob er sein Smartphone nur zum Schein vor den QR-Code hält? Er müss­te stän­dig die tat­säch­li­che Zahl der Besucher mit der Besucherzahl in sei­nem System abglei­chen und bei Unstimmigkeit her­aus­fin­den wer da gemo­gelt hat.

    1. @ Querulantino

      Wohl wahr.
      Leider ist zu beob­ach­ten, dass es unfass­bar vie­le Menachen gibt, die lieb und brav mit der Person an der Eingangskontrolle auch nich dis­ku­tie­ren, ob ihr Einloggen per Scan auch geklappt hat usw.

      Ich bin glück­li­cher­wei­se schon Anfang 2020 auf mein altes Nokia C3 umge­stie­gen Das hat hohen Unterhaltungswert! ("Was? Die gibt's noch?"). Und die Geschäfte in denen ich bis­her war, woll­ten auf ihren Umsatz mit Nicht-Smartphonebesitzerinnen trotz­dem nicht ver­zich­ten und haben ein Formular zum Ausfüllen ange­bo­ten. Das macht rich­tig Spaß, da kom­men mei­ne mul­ti­plen Persönlichkeiten voll zum Tragen! 😉

    1. Wohin soll man sie denn sonst hän­gen, an dei­ne klei­nen Glocken etwa?
      Schöner Name übri­gens: Zapata Gag. Du soll­test anfan­gen, dei­nem Namen Ehre zu machen, gute Gags wer­den gebraucht in die­sen Zeiten!

      1. Bitte die Gürtellinie respektieren.
        Glocken sind bekannt­lich multidivers 😉
        Zur Sache: natür­lich kann man das hier schrei­ben, jeder kann sich ein altes Telefon nehmen/kaufen/reaktivieren und auf einem Zettel mul­ti­ple Persönlichkeiten elaborieren.
        Das muß man doch eigent­lich nie­man­dem mehr sagen!!! Wer da nicht selbst drauf kommt, ist doof.

        1. Die eigent­li­che Frage ist doch eher: Will ich, dass die­ser gan­ze digi­ta­le Scheiß mein Leben bestimmt? Wo endet das?
          Sie kön­nen sich kein Dach über´m Kopf und kein Essen leis­ten? Kein Problem! Wohnen und Essen Sie vir­tu­ell, ver­ges­sen Sie ihren Leib. Nach 4 bis 6 Wochen sind Sie ihn für immer los!

  5. Gemeinsame Aktion von Geschäftsleuten in der Fußgängerzone Corona-Protest in Andernach:
    Boutique ver­kauft jetzt auch Lebensmittel

    STAND 30.4.2021, 14:47 Uhr

    Wegen Corona kön­nen Einzelhändler ihre Waren nur unter strik­ten Auflagen ver­kau­fen, anders als Supermärkte und Discounter.
    Sieben Geschäftsleute aus Andernach ver­kau­fen des­halb jetzt auch Lebensmittel – aus Protest.
    https://www.swr.de/swraktuell/rheinland-pfalz/koblenz/andernach-protest-gegen-corona-lebensmittel-in-boutique-100.html

  6. Meine Meinung: Risiken grö­ßer als Nutzen

    Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel,…

    Weitere Risiken birgt die zen­tra­le Datenhaltung des Systems, die nicht alle durch die ein­ge­setz­ten zwei­stu­fi­gen Verschlüsselungs-mecha­nis­men voll­stän­dig aus­ge­räumt werden.
    Ein qua­li­fi­zier­ter Angriff gegen die zen­tra­len IT-Systeme des Dienstes könn­te dazu füh­ren, dass die Angreifenden im schlimms­ten Fall in gro­ßem Umfang Daten über die Anwesenheit von Personen bei Veranstaltungen ent­schlüs­seln und aus­lei­ten können.

    "Gleichzeitig rate ich aber dazu, sich nicht aus­schließ­lich auf ‚Luca‘ zu fokus­sie­ren, son­dern auch ande­re Systeme in den Blick zu nehmen.“ 

    https://www.datenschutzkonferenz-online.de/media/st/20210429_DSK_Stellungnahme_LUCA.pdf

    https://www.datenschutz.de/luca-mit-grundsaetzlich-tragfaehiger-konzeption-aber-weitere-schutzmassnahmen-noetig/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.