Schon wieder desaströse Sicherheitslücke in Luca App

Das liest man am 26.5. auf netzpolitik.org:

»Die Kette von Sicherheitslücken bei der Luca App hört nicht auf. Ein Hacker hat nun gezeigt, wie er als Luca-Nutzer die Daten ande­rer Nutzer:innen der App steh­len kann.

Der Sicherheitsforscher Markus Mengs hat eine schwer­wie­gen­de Sicherheitslücke in der Luca App bewie­sen. Damit kön­nen Luca-Nutzer das Gesundheitsamt mit­tels mani­pu­lier­ter Kontaktdaten angrei­fen und damit die Daten wei­te­rer Nutzer:innen steh­len. Auch mög­lich sind wei­te­re Angriffe wie zum Beispiel gan­ze Rechner beim Gesundheitsamt mit Ransomware zu ver­schlüs­seln, weil Angreifer Code aus­füh­ren können…

Lange Kette von Fehlern

Die neu­er­li­che Sicherheitslücke reiht sich ein in eine lan­ge Kette von Fehlern, die das Unternehmen gemacht aber nie zuge­ge­ben hat. Auf eine Anfrage von netzpolitik.org zur seit Wochen bekann­ten Sicherheitslücke ant­wor­te­te der Luca-App-Sprecher Markus Bublitz: „Haben auch erst heu­te davon erfah­ren, wir schau­en uns das gera­de an.“ Er kün­dig­te für spä­ter ein län­ge­res Statement an.

Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), hat genau die Reaktion erwar­tet und kann es kaum fas­sen, wie er gegen­über netzpolitik.org sagt: „Wie immer wur­de das Risiko her­un­ter gespielt und die Schwachstelle sogar geleug­net. Die Schwachstellen sind ekla­tant, der Umgang damit kata­stro­phal. Dieses Unternehmen hat kein Vertrauen verdient…“

Grundsätzliches Problem von Luca ist die zen­tra­le Architektur der App. Auch das gro­ße Versprechen der App, die Arbeit der Gesundheitsämter zu erleich­tern ist nicht ein­ge­löst, denn die­se nut­zen Luca kaum. Die Bundesländer haben bis­lang Verträge in Höhe von fast 22 Millionen Euro für eine ein­jäh­ri­ge Lizenz zur Nutzung der Luca App abgeschlossen.

Update 13:50:

In einer an netzpolitik.org zuge­sand­ten Stellungnahme (PDF) bestä­ti­gen die Betreiber von Luca zwar die Existenz der Sicherheitslücke, schie­ben aber die Verantwortung für eine mög­li­che Bedrohung auf Microsoft Excel und unvor­sich­ti­ge Mitarbeiter:innen in Gesundheitsämtern. Dass letzt­lich ihre Programmierung die Sicherheitslücke beding­te, gibt Luca nicht zu, ver­weist aber auf ein Update, das die Lücke nun schließt. Auf die Frage von netzpolitik.org, war­um die Lücke nicht nach den ers­ten Hinweisen auf Zeit Online vor drei Wochen geschlos­sen wur­de, ant­wor­te­te der Luca-Sprecher nicht. Man habe erst heu­te durch eine Medienanfrage und Twitter davon erfah­ren, heißt es in der Presseerklärung.«

15 Antworten auf „Schon wieder desaströse Sicherheitslücke in Luca App“

  1. wir brau­chen uns vor­läu­fig kei­ne Sorgen zu machen, was die digi­ta­le Überwachung betrifft. Die sind ein­fach zu blöd für den Job. Hat je was geklappt, wenn der Spahn was in Auftrag gege­ben hat ?
    Kann mich nicht erin­nern, nur an kor­rup­te Vorgehensweisen was den Impfstoff betrifft und deren Zulassung . Ja, ver­läss­lich ist er auch nicht. Er schmeisst unser Geld zum Fenster raus, lei­der kommt es zur Tür nicht zurück. Ist halt weg bzw. hat jemand anders.. Rücktrittsforderung nimmt er nicht an ( wuss­te gar­nicht das man die ableh­nen kann )weil die Partei hin­ter ihm steht bzw. Merkel.

  2. Luca ist ein typi­sches Failed-by-Design-Produkt. 

    Der Datenabzug auf­grund der Bugs ist ein­ge­preist, denn der hilft dabei, zukünf­tig jgl. Datenschutz aus den Angeln zu heben, so wie es u.a. die Weltbank seit gerau­mer Zeit im Neusprechjargon propagiert.

    Irgendwann stört es näm­lich kei­nen mehr und irgend­wann wird es zur Normalität. Und weil das so ist, wird man sagen, dass das dann eben voll trans­pa­rent erfol­gen muss. Und damit sind die Schleusen der Kapitalprofiteure offen. Und damit wäre das Ziel erreicht.

    Nicht auf der Stirn wer­den sie ihre Daten tra­gen müs­sen, aber am Mann soll­ten sie schon sein. Abrufbar auf Befehl, ein­seh­bar just in time. 

    Sie wer­den schon sehen. Das läuft exakt so ab. Denn sie haben ja nichts zu ver­ber­gen, oder?

  3. Einen Schritt vor­aus: Flo Osrainik bei Ken Jebsen

    "..Nun fin­det auch ein Informationskrieg des Mainstreams und der Behörden gegen kri­ti­sche Medien wie KenFM, RT Deutsch, die NachDenkSeiten, Rubikon oder ein­zel­ne Journalisten, etwa Boris Reitschuster, statt. Deshalb lie­fe­re ich hier natür­lich nur rein vor­sorg­lich alle nöti­gen Quellen und ein paar Eindrücke nach. .."

    https://neue-debatte.com/2021/05/26/einen-schritt-voraus-flo-osrainik-bei-ken-jebsen/

  4. Folgendes skan­da­lö­ses habe ich auf https://www.spiegel.de/netzwelt/apps/coronakrise-darf-ich-ohne-luca-app-jetzt-nicht-mehr-zu-ikea-a-cab0558a-5c7d-4f84-80d2-451eebe95836 gefunden:

    "Braucht man Luca jetzt zum Einkaufen?

    Einige bekann­te Handelsketten wie Ikea, Galeria Karstadt Kaufhof, Thalia und Apollo set­zen Luca schon jetzt ein – teils bun­des­weit, teils an eini­gen Standorten. Dabei vari­iert, wie ent­schie­den auf eine Nutzung der App gepocht wird.

    Auf den Websites der Berliner Ikea-Filialen etwa heißt es expli­zit, für einen Möbelhausbesuch sei künf­tig ein nega­ti­ves Corona-Schnelltest-Ergebnis sowie eine FFP2-Maske erfor­der­lich, aber auch Luca. Auf SPIEGEL-Anfrage bestä­tigt Ikea, dass man es mit Luca ernst meint: »An den Standorten, an denen wir die Luca-App imple­men­tiert haben, prü­fen Mitarbeitende vor Betreten des Einrichtungshauses, ob die App und damit die Kontaktnachverfolgung akti­viert und gewähr­leis­tet ist«, schreibt die Möbelkette und ver­weist auf loka­le Verordnungen und Beschlüsse, die bei­spiels­wei­se auch in Rostock zu einem Einsatz von Luca geführt hätten.

    Die Prüfungen am Eingang beschreibt Ikea so, dass Kundinnen und Kunden sei­nen Mitarbeiterinnen und Mitarbeitern eine Bestätigung ihres Check-ins per Luca vor­zei­gen sol­len. Mit höhe­ren Wartezeiten am Einlass rech­net das Unternehmen dadurch nicht. Kundinnen und Kunden, die das Möbelhaus wie­der ver­las­sen, will Ikea durch Mitarbeiterinnen und Mitarbeiter, aber auch durch »deut­lich sicht­ba­re Kommunikation auf Aufstellern, Plakaten etc.« dar­auf hin­wei­sen, sich wie­der auszuchecken.

    Das liest sich, als sei Luca alter­na­tiv­los. Das Unternehmen schreibt dem SPIEGEL aber auch: »Sollte es Kund*innen nicht mög­lich sein, ihre Kontaktdaten digi­tal über die Luca-App zu erfas­sen, so bie­ten wir ent­spre­chend der loka­len Vorgaben alter­na­ti­ve Registrierungsmöglichkeiten an, wie bei­spiels­wei­se das Ausfüllen eines Kontaktdatenblattes vor Ort.«

    Bei Apollo-Optik ist Luca mehr Option als Vorgabe. »Wir ermög­li­chen es unse­ren Kundinnen und Kunden, die App zu nut­zen«, sagt Firmenchef Jörg Ehmer dem SPIEGEL. »Gleichzeitig gibt es aber kei­ner­lei Verpflichtung dazu. In den Fällen, in denen regio­nal für uns eine Kontaktdatenerfassung vor­ge­schrie­ben ist, bie­ten wir auch einen ande­ren Weg an – für Menschen, die kein digi­ta­les Endgerät nut­zen möch­ten, haben wir einen papier­ge­stütz­ten Prozess eta­bliert.« Kontrollen zum Thema Luca will Apollo nicht durchführen.

    Von der Buchhandelskette Thalia heißt es, man set­ze auf einen »frei­wil­li­gen« Check-in per Luca. Zugleich ver­weist das Unternehmen dar­auf, dass es selbst die Gesundheitsämter vor Ort kon­tak­tie­ren müs­se, um zu klä­ren, ob die Luca-App vor Ort genutzt wer­den dür­fe oder nicht. »Manchmal wird die Genehmigung dann unpro­ble­ma­tisch erteilt«, so Thalia, »in ande­ren Fällen sind die Gesundheitsämter tech­nisch noch gar nicht in der Lage, die App-Daten zu nut­zen. Wir plä­die­ren dafür, die­sen Aufwands-Irrsinn für Behörden und Unternehmen zu been­den und die Luca-App als bun­des­wei­ten Standard zu etablieren.«

    Thalia betont, dass die Daten zur Kontaktnachverfolgung jen­seits von Luca auch bei Online-Terminvereinbarungen oder direkt in der Buchhandlung per Formular erho­ben wür­den. Check-ins über Luca wür­den sich Mitarbeiterinnen und Mitarbeiter am Smartphone der Kundinnen und Kunden zei­gen lassen."

    Nazis darf man nicht sagen, des­we­gen sage ich es auch nicht. Nasen hin­ge­gen schon. Alles Nasen – Nasen, Nasen, Nasen…

    Viele Grüße,
    Der Ösi

  5. »An den Standorten, an denen wir die Luca-App imple­men­tiert haben, prü­fen Mitarbeitende vor Betreten des Einrichtungshauses, ob die App und damit die Kontaktnachverfolgung akti­viert und gewähr­leis­tet ist«
    »Check-ins über Luca wür­den sich Mitarbeiterinnen und Mitarbeiter am Smartphone der Kundinnen und Kunden zei­gen lassen.«
    In bei­den Fällen kann nur die Anzeige auf dem Display kon­trol­liert wer­den, aber nicht ob die­se durch die App erzeugt, oder selbst gebas­telt aus dem Bildspeicher des Smartphone abge­ru­fen wird.
    Man müss­te schon den Kunden wäh­rend des gesam­ten Vorganges auf die Finger sehen. Sollte es jeman­dem gelin­gen den QR-Code am Eingang zu foto­gra­fie­ren war alles umsonst.
    Stellen sie sich ein­mal vor ein Puffbesitzer benutzt den­sel­ben QR-Code dann an sei­nem Etablissement.

  6. BSI kri­ti­siert Luca-App wegen „offen­kun­di­ger“ Schwachstelle
    28.05.2021, 13:41 Uhr • Lesezeit: 2 Min.
    "Das BSI schät­ze das Angriffs-Szenario einer Code-Injection über das Luca-System abhän­gig von der kon­kre­ten Einsatzumgebung als plau­si­bel ein, ließ die Behörde
    via Twitter
    https://twitter.com/BSI_Bund/status/1398195272400920578
    verlauten.
    In einem kur­zen Thread woll­te das BSI den vie­len Anfragen begeg­nen, denen es nach eige­nem Bekunden in letz­ter Zeit aus­ge­setzt ist."

    https://t3n.de/news/bsi-kritisiert-luca-app-schwachstelle-1381394/

    [Anmerkungen:
    – Auf der BSI-Homepage ist Luca KEIN Thema!
    – Laut BSI wur­de kein Auftrag für eine tie­fer­ge­hen­de BSI-Prüfung der App durch die Bundesverwaltung gestellt – sie­he Twitter-Meldung!]

    App zur Kontaktnachverfolgung
    IT-Sicherheitsbehörde prüft Luca-App
    Das Bundesamt für Sicherheit in der Informationstechnik prüft die Luca-App, mit der meh­re­re Bundesländer die Kontakte von Infizierten nach­ver­fol­gen wollen.
    Von Max Hoppenstedt 19.04.2021, 15.37 Uhr

    [Anmerkung:
    Nur durch Dienstleister im Standardverfahren!]
    https://www.spiegel.de/netzwelt/apps/it-sicherheitsbehoerde-prueft-luca-app-a-651bc2fb-ea4d-4fb8-aeb4-62d87f654dfa

  7. Offener Brief:
    Alle gegen noch mehr Staatstrojaner
    2021-06-02 05:06:53, erdgeist

    In einem offe­nen Brief wen­det sich eine denk­bar brei­te Allianz gegen die Gesetzesvorhaben der Bundesregierung, mit der die Erlaubnis zur Nutzung von Staatstrojanern stark aus­ge­wei­tet und zugleich Verschlüsselungsmaßnahmen geschwächt würden.

    Es gibt nur weni­ge Gesetzesvorschläge, bei denen sich ein­fach alle einig sind, dass sie ganz schlech­te Ideen sind.
    Für das Ende der Legislaturperiode hat die Koalition aus CDU, CSU und SPD gleich zwei davon auf der To-Do-Liste:

    Mit dem Gesetz zur Anpassung des Verfassungsschutzrechts sol­len alle deut­schen Geheimdienste die Befugnis zum Hacken erhalten.
    Das Bundespolizeigesetz soll der Behörde nicht nur den Einsatz von Staatstrojanern gestat­ten, son­dern auch noch erlau­ben, damit Personen zu hacken, die gar kei­ne Straftat began­gen haben oder einer ver­däch­tigt werden: 

    Denn neben den ver­däch­ti­gen Zielpersonen sol­len auch Unverdächtige gehackt wer­den dürfen.

    https://www.ccc.de/de/updates/2021/offener-brief-alle-gegen-noch-mehr-staatstrojaner

  8. https://www.heise.de/suche/?q=luca&sort_by=date&rm=search

    u.a.
    https://www.heise.de/tp/features/Wie-Digital-Detox-systematisch-erschwert-wird-6059260.html

    https://www.heise.de/news/Luca-first-Bedenken-second-Pandemiebekaempfung-mit-lueckenhafter-Software-6020201.html

    https://www.heise.de/meinung/Was-war-Was-wird-Von-den-Anfaengen-der-EDV-bis-zum-Digitalzwang-Melder-6063070.html

    *** Um beim Thema zu bleiben:
    CovPass ist da.
    In Berlin-Tempelhof und in Potsdam wur­de der bun­des­wei­te Feldversuch mit dem digi­ta­len Covid-Impfnachweis gestartet.
    30 Zertifikate wer­den tag­täg­lich pro­du­ziert und auf das pas­sen­de Smartphone transportiert. 

    Jetzt beginnt das hüb­sche Verwirrspielchen wie bei den Diskussionen um die Corona-Warn-Apps. 

    Denn CovPass ist nicht der digi­ta­le Impfnachweis, den die Gematik für die Ärzteschaft als MIO (medi­zi­ni­sches Informations-Objekt) entwickelt. 

    Er ist auch nicht der grü­ne digi­ta­le Impfnachweis, der von der EU für das Reisen spe­zi­fi­ziert wurde. 

    Und dann gibt es noch ganz ande­re Sachen wie etwa die Immunkarte, die Apotheker:innen aus­stel­len sollen. 

    Ein Blick zu den Nachbarn ist auch nicht schlecht.
    Da soll in Österreich ein hüb­sches Zentralregister ent­ste­hen und die bri­ti­sche Variante ist auch nicht von schlech­ten Eltern.
    Dann gibt es noch eine Schweizer Spezialität.
    https://www.heise.de/meinung/Was-war-Was-wird-Mit-einem-szenischen-Einstieg-6057219.html

    https://www.heise.de/news/Der-BaerCODE-Digitale-Signatur-als-Corona-Test-oder-Impfnachweis-6050483.html

  9. Das Video des Sicherheitsforschers Markus Mengs
    "eine schwer­wie­gen­de Sicherheitslücke in der Luca App bewiesen."
    Link
    https://www.youtube.com/watch?v=xTljfac-0ag
    dazu wur­de gelöscht

    Dieses Video wur­de ent­fernt, weil es gegen die Community-Richtlinien von YouTube verstößt.
    Weitere Informationen

  10. Marcus Mengs
    https://twitter.com/mame82

    https://twitter.com/_luciApp

    ande­re
    https://twitter.com/hashtag/LucaFail?src=hashtag_click

    Landkreis Osnabrück darf auf sei­ner Website nicht allein für die #LUCAApp wer­ben. Schade dass der Steuerzahler darür tief in die Tasche grei­fen musste -
    https://twitter.com/koos/status/1410166780497104898
    ->
    https://www.verwaltungsgericht-osnabrueck.niedersachsen.de/aktuelles/pressemitteilungen/landkreis-osnabruck-darf-auf-seiner-website-nicht-allein-fur-die-luca-app-werben-201423.html

    Bianca Kastl
    – IT-Entwicklerin unter­stützt Gesundheitsamt Bodenseekreis beim Kontaktmanagement
    https://twitter.com/bkastl
    Video
    https://media.ccc.de/v/cccs-202105-lucatrack-und-andere-gefahren

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.