»Mit einem Fake-Programm lässt sich die Luca-App leicht austricksen. Nutzer bekommen davon nichts mit, Behörden können mit den Daten nichts anfangen.«
Das ist am 29.4. zu lernen auf heise.de:
»Inzwischen ist die Luca-App zur Kontakt-Nachverfolgung in der Corona-Pandemie für manche Modellregionen als verpflichtend angezeigt – aber leider ist die Implementierung voll mit IT-Konzeptfehlern: Man kann sich leicht mit einer Fake-App einchecken, welche aber nicht zum Nachverfolgen zu gebrauchen ist. Sieht aus wie eine Luca-App, ist aber eine „gehackte“ Anonymus- oder Offline-Version, die im besten Fall nur Datenmüll übermittelt.
Folgende Anwendungsfälle soll die App unterstützen:
-
-
- Registrierung beim Luca Server: Der Benutzer gibt seine Telefonnummer, Name und Adresse ein. Diese wird an den Luca-Server geschickt; abgesichert mit SMS-TAN.
- Location: Selbst einchecken: Der Nutzer scannt einen QR-Code am Eingang. Im System der Location wird der Besucherzähler inkrementiert und in der App erscheint „eingecheckt“.
- Location: Einchecken lassen: Die Location hat einen Scanner – geht mit der Webcam über eine Webseite – und scannt damit den QR-Code, den die Luca App anzeigt. Im System der Location wird der Zähler auch inkrementiert und in der App erscheint „eingecheckt“.
- Privates Treffen erstellen: Das Treffen wird auf den Luca-Servern registriert. Es erscheint ein Barcode, den Besucher scannen können.
- Einchecken im privaten Treffen: Man scannt den Barcode des Treffens. In der App erscheint eingecheckt; auf dem Handy des Treffens geht der Zähler um die Gästezahl hoch und der Name des Besuchers erscheint…
-
Im Internet kursieren kleine Skripte, mit denen man die Einlasskontrolle von sogenannten "Luca Locations" austricksen kann, ohne sich jemals registriert zu haben. Dies wollte der Sicherheitsexperte im Quelltext nachprüfen. Hier fand er schnell heraus, wo und wie die Kommunikation mit den Luca-Servern erfolgt.
Erschreckenderweise musste Herr Huwig feststellen, dass die Entwickler keinerlei Sicherheitsmechanismen versehen, die erkennen, ob jemand einen echten Luca-Barcode oder einen frei erfundenen präsentiert. Das ist in etwa so, als würde jeder sich eigene Autokennzeichen erstellen können und damit beliebig durch Blitzer fahren, ohne jemals belangt werden zu können.
Zwei Modi für die Fake-App
Daher hat er die App dahingehend modifiziert, dass diese Luca-Fake-Anwendung in zwei neuen Modi betreibbar ist: Mit "Anonym" registriert sich die App nicht bei den Luca-Servern, sondern erstellt sich beim Starten selbst eine zufällige Kennung und wechselt sie ständig.
Mit dieser Kennung kann sich der Nutzer an jeder Luca Location anmelden und sogar private Treffen erstellen. Für Außenstehende ist die Manipulation nicht erkennbar, denn die App verhält sich wie die richtige: Der Besucherzähler einer Luca Location geht hoch, sobald der Nutzer den Barcode der Location scannt und auch, wenn der Betreiber den Barcode der App selbst scannt.
Die Manipulation lässt sich erst feststellen, wenn das Gesundheitsamt versucht, auf die Daten zuzugreifen und dann nur digitalen Müll erhält – genauer "Benutzer unbekannt".
Im zweiten Modus arbeitet die App komplett offline, kontaktiert also niemals die Luca-Server. Dies wäre für den Betreiber einer Luca Location feststellbar, wenn er nach dem Scan des Anwenders überprüft, ob der Besucherzähler inkrementiert wird – was aber in der Praxis wohl kaum der Fall ist, wenn lediglich ein Barcode am Eingang klebt.
Scannt er den manipulierten Barcode der App selbst, erhöht sich sogar sein Besucherzähler ordnungsgemäß – lediglich die App meldet nicht, dass sie eingecheckt ist: Sie bekommt diese Aktion gar nicht mit, aber das kann man immer auf eine instabile Datenverbindung des Handys schieben.
Fazit
Es ist erstaunlich einfach, das Luca-System komplett auszuhebeln, und zwar so, dass es für die Betreiber von Luca Locations nicht möglich ist, diese Manipulation festzustellen. Das System ist damit sogar weniger sicher als Papierzettel, denn da kann er Betreiber prüfen, ob alles korrekt ausgefüllt wurde. Technische Details zu den Schwachstellen finden sich ebenfalls auf GitHub.«
[Update 29.04.2021 13.55 Uhr] Die Luca-Macher äußern Bedauern, dass sie erst aus der Presse von der Stellungnahme der Sicherheitsforscher erfahren haben. Sie wollen sich mit den Vorwürfen auseinandersetzen und dann ausführlich Stellung beziehen.
Zunächst gehen sie auf die vier Kriterien ein. Da heißt es, dass die Zweckbindung in der DSGVO geregelt sei – und nur der Kontaktnachverfolgung durch die Gesundheitsämter diene. Der Quellcode aller Komponenten sei transparent. Die Freiwilligkeit der Nutzung sei in den Verordnungen der Bundesländer vorgesehen. Zum Thema Risikoabwägung verweisen die Macher, Culture4Life, auf Stellungnahmen von Wissenschaftlern und eine vom ifo Institut, in denen die Wichtigkeit der Kontaktnachverfolgung betont wird.
Dies wird von den Sicherheitsforschern gar nicht in Abrede gestellt – ganz im Gegenteil fordern auch sie eine Nachverfolgung. Sie wenden sich allerdings gegen die Nutzung der Luca-App für die Kontaktverfolgung und begründen dies mit den Schwachstellen des Systems, und der einhergehenden Probleme für die Gesundheitsämter. Auch sprechen sie von einem "de facto" Nutzungszwang und nicht davon, dass dieser in Verordnungen niedergeschrieben sei.
https://www.heise.de/news/Sicherheitsforscher-Risiken-der-Luca-App-voellig-unverhaeltnismaessig-6031770.html
Aufgepickt …
Künftig könnten selbst gravierende Freiheitseinbußen zum Schutz des Klimas verhältnismäßig und verfassungsrechtlich gerechtfertigt sein, erläuterten die Richter. Zwar müssten die Grundrechte abgewogen werden. Aber: "Dabei nimmt das relative Gewicht des Klimaschutzgebots in der Abwägung bei fortschreitendem Klimawandel weiter zu."
https://www.heise.de/news/Verfassungsgericht-Klimaschutzgesetz-verletzt-Freiheitsrechte-juengerer-Menschen-6031624.html
@some1: Für das Verständnis förderlich ist der Satz davor: »Es dürfe nicht einer Generation zugestanden werden, "unter vergleichsweise milder Reduktionslast große Teile des CO2-Budgets zu verbrauchen, wenn damit zugleich den nachfolgenden Generationen eine radikale Reduktionslast überlassen und deren Leben umfassenden Freiheitseinbußen ausgesetzt würde".«
@aa Das ist dann wie mit dem Impfen, oder? Wenn nicht alle mehrfach geimpft sind, sind sie schuld an den vollen Intensivstationen? Dass die voll sind, ist ja klar! Würde unsere Regierung und die Vertragspartner derselben denn JEMALS die Bevölkerung belügen? Wenigstens sind Sie ehrlich: Lockdown für das Klima, aber nicht für dat Virus. 😀 Träumchen.
@some1: Auch das mögen Sie mir in den Mund legen. Habe ich allerdings weder gesagt noch meine ich das. Da Sie nun seit geraumer Zeit diesen Blog verfolgen, sollten Sie bemerkt haben, daß ich der Regierung nicht vertraue.
@aa Auch das mögen Sie mir in den Mund legen. Wie meinen? Schwarze Rhetorik – Sie können's nicht lassen.
Es ist doch die selbe Regierung, die von einem "Co2-Budget" redet, um das sich die dem Vernehmen nach "jungen" Kläger hier zanken, die auch mit dem Virus die Genexperimente an Mensch und Natur vorantreibt, oder nicht? Ich habe mich im Übrigen mit dem Klima-Thema (noch) nicht befasst, weil die Diskussion darüber und die "Verteilung" eines Umweltbudgets mir widersteht: das ist, als würde man drüber verhandeln, wer den Großvater aufessen darf, wenn er tot ist und wieviel davon man haltbar macht für spätere Generationen. Es sollte ein anderes Bedürfnis sein als Gier, dem der Umgang mit Mensch und Umwelt entspringt.
Androids Corona-Kontaktverfolgung leakt Daten
Eigentlich sollte nur das Exposure Notification Framework auf die gesammelten Kontakte zugreifen können, doch Android schreibt sie in ein Log.
Artikel veröffentlicht am
29. April 2021, 16:27 Uhr
https://www.golem.de/news/corona-warn-app-androids-corona-kontaktverfolgung-leakt-daten-2104–156136.html
Smudo: Heute Nacht musst du noch schnell deine Knete aus diesem Grab holen, morgen Mittag wird sich deine Kohle in Nichts aufgelöst haben.
Der QR-Code kann fotografiert, beliebig oft kopiert, weitergegeben und von jedem Ort der Welt benutzt werden. Beweiswert = 0.
Ein grundlegendes Problem, welches nicht beseitigt werden kann.
Kann im Falle "selbst einchecken" der Betreiber der Location überhaupt kontrollieren ob der Nutzer am Eingang den QR-Code tatsächlich scannt oder ob er sein Smartphone nur zum Schein vor den QR-Code hält? Er müsste ständig die tatsächliche Zahl der Besucher mit der Besucherzahl in seinem System abgleichen und bei Unstimmigkeit herausfinden wer da gemogelt hat.
@ Querulantino
Wohl wahr.
Leider ist zu beobachten, dass es unfassbar viele Menachen gibt, die lieb und brav mit der Person an der Eingangskontrolle auch nich diskutieren, ob ihr Einloggen per Scan auch geklappt hat usw.
Ich bin glücklicherweise schon Anfang 2020 auf mein altes Nokia C3 umgestiegen Das hat hohen Unterhaltungswert! ("Was? Die gibt's noch?"). Und die Geschäfte in denen ich bisher war, wollten auf ihren Umsatz mit Nicht-Smartphonebesitzerinnen trotzdem nicht verzichten und haben ein Formular zum Ausfüllen angeboten. Das macht richtig Spaß, da kommen meine multiplen Persönlichkeiten voll zum Tragen! 😉
Es ist äußerst dämlich, solche Erkenntnisse auch noch an die große Glocke zu hängen.
Nicht wahr?
heise und golem sind größere Glocken als corodok, von daher …
Wohin soll man sie denn sonst hängen, an deine kleinen Glocken etwa?
Schöner Name übrigens: Zapata Gag. Du solltest anfangen, deinem Namen Ehre zu machen, gute Gags werden gebraucht in diesen Zeiten!
Bitte die Gürtellinie respektieren.
Glocken sind bekanntlich multidivers 😉
Zur Sache: natürlich kann man das hier schreiben, jeder kann sich ein altes Telefon nehmen/kaufen/reaktivieren und auf einem Zettel multiple Persönlichkeiten elaborieren.
Das muß man doch eigentlich niemandem mehr sagen!!! Wer da nicht selbst drauf kommt, ist doof.
Die eigentliche Frage ist doch eher: Will ich, dass dieser ganze digitale Scheiß mein Leben bestimmt? Wo endet das?
Sie können sich kein Dach über´m Kopf und kein Essen leisten? Kein Problem! Wohnen und Essen Sie virtuell, vergessen Sie ihren Leib. Nach 4 bis 6 Wochen sind Sie ihn für immer los!
Gemeinsame Aktion von Geschäftsleuten in der Fußgängerzone Corona-Protest in Andernach:
Boutique verkauft jetzt auch Lebensmittel
STAND 30.4.2021, 14:47 Uhr
Wegen Corona können Einzelhändler ihre Waren nur unter strikten Auflagen verkaufen, anders als Supermärkte und Discounter.
Sieben Geschäftsleute aus Andernach verkaufen deshalb jetzt auch Lebensmittel – aus Protest.
https://www.swr.de/swraktuell/rheinland-pfalz/koblenz/andernach-protest-gegen-corona-lebensmittel-in-boutique-100.html
Meine Meinung: Risiken größer als Nutzen
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel,…
Weitere Risiken birgt die zentrale Datenhaltung des Systems, die nicht alle durch die eingesetzten zweistufigen Verschlüsselungs-mechanismen vollständig ausgeräumt werden.
Ein qualifizierter Angriff gegen die zentralen IT-Systeme des Dienstes könnte dazu führen, dass die Angreifenden im schlimmsten Fall in großem Umfang Daten über die Anwesenheit von Personen bei Veranstaltungen entschlüsseln und ausleiten können.
"Gleichzeitig rate ich aber dazu, sich nicht ausschließlich auf ‚Luca‘ zu fokussieren, sondern auch andere Systeme in den Blick zu nehmen.“
https://www.datenschutzkonferenz-online.de/media/st/20210429_DSK_Stellungnahme_LUCA.pdf
https://www.datenschutz.de/luca-mit-grundsaetzlich-tragfaehiger-konzeption-aber-weitere-schutzmassnahmen-noetig/
Links zu unseren Datensammlungen und zu anderen Bürgerrechtsorganisationen
https://www.aktion-freiheitstattangst.org/de/articles/960-anti-ueberwachung-linkliste.htm
darin auch
https://gruppen.gegen-ueberwachung.de/