Das liest man am 26.5. auf netzpolitik.org:
»Die Kette von Sicherheitslücken bei der Luca App hört nicht auf. Ein Hacker hat nun gezeigt, wie er als Luca-Nutzer die Daten anderer Nutzer:innen der App stehlen kann.
Der Sicherheitsforscher Markus Mengs hat eine schwerwiegende Sicherheitslücke in der Luca App bewiesen. Damit können Luca-Nutzer das Gesundheitsamt mittels manipulierter Kontaktdaten angreifen und damit die Daten weiterer Nutzer:innen stehlen. Auch möglich sind weitere Angriffe wie zum Beispiel ganze Rechner beim Gesundheitsamt mit Ransomware zu verschlüsseln, weil Angreifer Code ausführen können…
Lange Kette von Fehlern
Die neuerliche Sicherheitslücke reiht sich ein in eine lange Kette von Fehlern, die das Unternehmen gemacht aber nie zugegeben hat. Auf eine Anfrage von netzpolitik.org zur seit Wochen bekannten Sicherheitslücke antwortete der Luca-App-Sprecher Markus Bublitz: „Haben auch erst heute davon erfahren, wir schauen uns das gerade an.“ Er kündigte für später ein längeres Statement an.
Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), hat genau die Reaktion erwartet und kann es kaum fassen, wie er gegenüber netzpolitik.org sagt: „Wie immer wurde das Risiko herunter gespielt und die Schwachstelle sogar geleugnet. Die Schwachstellen sind eklatant, der Umgang damit katastrophal. Dieses Unternehmen hat kein Vertrauen verdient…“
Grundsätzliches Problem von Luca ist die zentrale Architektur der App. Auch das große Versprechen der App, die Arbeit der Gesundheitsämter zu erleichtern ist nicht eingelöst, denn diese nutzen Luca kaum. Die Bundesländer haben bislang Verträge in Höhe von fast 22 Millionen Euro für eine einjährige Lizenz zur Nutzung der Luca App abgeschlossen.
Update 13:50:
In einer an netzpolitik.org zugesandten Stellungnahme (PDF) bestätigen die Betreiber von Luca zwar die Existenz der Sicherheitslücke, schieben aber die Verantwortung für eine mögliche Bedrohung auf Microsoft Excel und unvorsichtige Mitarbeiter:innen in Gesundheitsämtern. Dass letztlich ihre Programmierung die Sicherheitslücke bedingte, gibt Luca nicht zu, verweist aber auf ein Update, das die Lücke nun schließt. Auf die Frage von netzpolitik.org, warum die Lücke nicht nach den ersten Hinweisen auf Zeit Online vor drei Wochen geschlossen wurde, antwortete der Luca-Sprecher nicht. Man habe erst heute durch eine Medienanfrage und Twitter davon erfahren, heißt es in der Presseerklärung.«
M‑V zündet den Impfturbo…
https://www.ndr.de/nachrichten/mecklenburg-vorpommern/LAGuS-loescht-Impf-Registrierungen,coronavirus5330.html
Ach, über die App kann man Computer des Gesundheitsamtes infizieren? Tragen die denn keine Masken?
https://anonfiles.com/72tam7ycu9/snakeoil_png
wir brauchen uns vorläufig keine Sorgen zu machen, was die digitale Überwachung betrifft. Die sind einfach zu blöd für den Job. Hat je was geklappt, wenn der Spahn was in Auftrag gegeben hat ?
Kann mich nicht erinnern, nur an korrupte Vorgehensweisen was den Impfstoff betrifft und deren Zulassung . Ja, verlässlich ist er auch nicht. Er schmeisst unser Geld zum Fenster raus, leider kommt es zur Tür nicht zurück. Ist halt weg bzw. hat jemand anders.. Rücktrittsforderung nimmt er nicht an ( wusste garnicht das man die ablehnen kann )weil die Partei hinter ihm steht bzw. Merkel.
Luca ist ein typisches Failed-by-Design-Produkt.
Der Datenabzug aufgrund der Bugs ist eingepreist, denn der hilft dabei, zukünftig jgl. Datenschutz aus den Angeln zu heben, so wie es u.a. die Weltbank seit geraumer Zeit im Neusprechjargon propagiert.
Irgendwann stört es nämlich keinen mehr und irgendwann wird es zur Normalität. Und weil das so ist, wird man sagen, dass das dann eben voll transparent erfolgen muss. Und damit sind die Schleusen der Kapitalprofiteure offen. Und damit wäre das Ziel erreicht.
Nicht auf der Stirn werden sie ihre Daten tragen müssen, aber am Mann sollten sie schon sein. Abrufbar auf Befehl, einsehbar just in time.
Sie werden schon sehen. Das läuft exakt so ab. Denn sie haben ja nichts zu verbergen, oder?
Einen Schritt voraus: Flo Osrainik bei Ken Jebsen
"..Nun findet auch ein Informationskrieg des Mainstreams und der Behörden gegen kritische Medien wie KenFM, RT Deutsch, die NachDenkSeiten, Rubikon oder einzelne Journalisten, etwa Boris Reitschuster, statt. Deshalb liefere ich hier natürlich nur rein vorsorglich alle nötigen Quellen und ein paar Eindrücke nach. .."
https://neue-debatte.com/2021/05/26/einen-schritt-voraus-flo-osrainik-bei-ken-jebsen/
Folgendes skandalöses habe ich auf https://www.spiegel.de/netzwelt/apps/coronakrise-darf-ich-ohne-luca-app-jetzt-nicht-mehr-zu-ikea-a-cab0558a-5c7d-4f84-80d2-451eebe95836 gefunden:
"Braucht man Luca jetzt zum Einkaufen?
Einige bekannte Handelsketten wie Ikea, Galeria Karstadt Kaufhof, Thalia und Apollo setzen Luca schon jetzt ein – teils bundesweit, teils an einigen Standorten. Dabei variiert, wie entschieden auf eine Nutzung der App gepocht wird.
Auf den Websites der Berliner Ikea-Filialen etwa heißt es explizit, für einen Möbelhausbesuch sei künftig ein negatives Corona-Schnelltest-Ergebnis sowie eine FFP2-Maske erforderlich, aber auch Luca. Auf SPIEGEL-Anfrage bestätigt Ikea, dass man es mit Luca ernst meint: »An den Standorten, an denen wir die Luca-App implementiert haben, prüfen Mitarbeitende vor Betreten des Einrichtungshauses, ob die App und damit die Kontaktnachverfolgung aktiviert und gewährleistet ist«, schreibt die Möbelkette und verweist auf lokale Verordnungen und Beschlüsse, die beispielsweise auch in Rostock zu einem Einsatz von Luca geführt hätten.
Die Prüfungen am Eingang beschreibt Ikea so, dass Kundinnen und Kunden seinen Mitarbeiterinnen und Mitarbeitern eine Bestätigung ihres Check-ins per Luca vorzeigen sollen. Mit höheren Wartezeiten am Einlass rechnet das Unternehmen dadurch nicht. Kundinnen und Kunden, die das Möbelhaus wieder verlassen, will Ikea durch Mitarbeiterinnen und Mitarbeiter, aber auch durch »deutlich sichtbare Kommunikation auf Aufstellern, Plakaten etc.« darauf hinweisen, sich wieder auszuchecken.
Das liest sich, als sei Luca alternativlos. Das Unternehmen schreibt dem SPIEGEL aber auch: »Sollte es Kund*innen nicht möglich sein, ihre Kontaktdaten digital über die Luca-App zu erfassen, so bieten wir entsprechend der lokalen Vorgaben alternative Registrierungsmöglichkeiten an, wie beispielsweise das Ausfüllen eines Kontaktdatenblattes vor Ort.«
Bei Apollo-Optik ist Luca mehr Option als Vorgabe. »Wir ermöglichen es unseren Kundinnen und Kunden, die App zu nutzen«, sagt Firmenchef Jörg Ehmer dem SPIEGEL. »Gleichzeitig gibt es aber keinerlei Verpflichtung dazu. In den Fällen, in denen regional für uns eine Kontaktdatenerfassung vorgeschrieben ist, bieten wir auch einen anderen Weg an – für Menschen, die kein digitales Endgerät nutzen möchten, haben wir einen papiergestützten Prozess etabliert.« Kontrollen zum Thema Luca will Apollo nicht durchführen.
Von der Buchhandelskette Thalia heißt es, man setze auf einen »freiwilligen« Check-in per Luca. Zugleich verweist das Unternehmen darauf, dass es selbst die Gesundheitsämter vor Ort kontaktieren müsse, um zu klären, ob die Luca-App vor Ort genutzt werden dürfe oder nicht. »Manchmal wird die Genehmigung dann unproblematisch erteilt«, so Thalia, »in anderen Fällen sind die Gesundheitsämter technisch noch gar nicht in der Lage, die App-Daten zu nutzen. Wir plädieren dafür, diesen Aufwands-Irrsinn für Behörden und Unternehmen zu beenden und die Luca-App als bundesweiten Standard zu etablieren.«
Thalia betont, dass die Daten zur Kontaktnachverfolgung jenseits von Luca auch bei Online-Terminvereinbarungen oder direkt in der Buchhandlung per Formular erhoben würden. Check-ins über Luca würden sich Mitarbeiterinnen und Mitarbeiter am Smartphone der Kundinnen und Kunden zeigen lassen."
Nazis darf man nicht sagen, deswegen sage ich es auch nicht. Nasen hingegen schon. Alles Nasen – Nasen, Nasen, Nasen…
Viele Grüße,
Der Ösi
Wie der Angriff genau abläuft, demonstriert der Sicherheitsforscher Marcus Mengs in einem Video. Der Hack läuft dabei über eine von ihm eingerichtete Software, die auf dem öffentlich einsehbaren Quellcode basiert:
https://www.computerbase.de/2021–05/luca-app-sicherheitsluecke-ermoeglicht-angriffe-auf-gesundheitsaemter/
Das ganze Video von Marcus Mengs gibt es hier:
https://www.youtube.com/watch?v=xTljfac-0ag
»An den Standorten, an denen wir die Luca-App implementiert haben, prüfen Mitarbeitende vor Betreten des Einrichtungshauses, ob die App und damit die Kontaktnachverfolgung aktiviert und gewährleistet ist«
»Check-ins über Luca würden sich Mitarbeiterinnen und Mitarbeiter am Smartphone der Kundinnen und Kunden zeigen lassen.«
In beiden Fällen kann nur die Anzeige auf dem Display kontrolliert werden, aber nicht ob diese durch die App erzeugt, oder selbst gebastelt aus dem Bildspeicher des Smartphone abgerufen wird.
Man müsste schon den Kunden während des gesamten Vorganges auf die Finger sehen. Sollte es jemandem gelingen den QR-Code am Eingang zu fotografieren war alles umsonst.
Stellen sie sich einmal vor ein Puffbesitzer benutzt denselben QR-Code dann an seinem Etablissement.
BSI kritisiert Luca-App wegen „offenkundiger“ Schwachstelle
28.05.2021, 13:41 Uhr • Lesezeit: 2 Min.
"Das BSI schätze das Angriffs-Szenario einer Code-Injection über das Luca-System abhängig von der konkreten Einsatzumgebung als plausibel ein, ließ die Behörde
via Twitter
https://twitter.com/BSI_Bund/status/1398195272400920578
verlauten.
In einem kurzen Thread wollte das BSI den vielen Anfragen begegnen, denen es nach eigenem Bekunden in letzter Zeit ausgesetzt ist."
https://t3n.de/news/bsi-kritisiert-luca-app-schwachstelle-1381394/
[Anmerkungen:
– Auf der BSI-Homepage ist Luca KEIN Thema!
– Laut BSI wurde kein Auftrag für eine tiefergehende BSI-Prüfung der App durch die Bundesverwaltung gestellt – siehe Twitter-Meldung!]
App zur Kontaktnachverfolgung
IT-Sicherheitsbehörde prüft Luca-App
Das Bundesamt für Sicherheit in der Informationstechnik prüft die Luca-App, mit der mehrere Bundesländer die Kontakte von Infizierten nachverfolgen wollen.
Von Max Hoppenstedt 19.04.2021, 15.37 Uhr
[Anmerkung:
Nur durch Dienstleister im Standardverfahren!]
https://www.spiegel.de/netzwelt/apps/it-sicherheitsbehoerde-prueft-luca-app-a-651bc2fb-ea4d-4fb8-aeb4-62d87f654dfa
Offener Brief:
Alle gegen noch mehr Staatstrojaner
2021-06-02 05:06:53, erdgeist
In einem offenen Brief wendet sich eine denkbar breite Allianz gegen die Gesetzesvorhaben der Bundesregierung, mit der die Erlaubnis zur Nutzung von Staatstrojanern stark ausgeweitet und zugleich Verschlüsselungsmaßnahmen geschwächt würden.
Es gibt nur wenige Gesetzesvorschläge, bei denen sich einfach alle einig sind, dass sie ganz schlechte Ideen sind.
Für das Ende der Legislaturperiode hat die Koalition aus CDU, CSU und SPD gleich zwei davon auf der To-Do-Liste:
Mit dem Gesetz zur Anpassung des Verfassungsschutzrechts sollen alle deutschen Geheimdienste die Befugnis zum Hacken erhalten.
Das Bundespolizeigesetz soll der Behörde nicht nur den Einsatz von Staatstrojanern gestatten, sondern auch noch erlauben, damit Personen zu hacken, die gar keine Straftat begangen haben oder einer verdächtigt werden:
Denn neben den verdächtigen Zielpersonen sollen auch Unverdächtige gehackt werden dürfen.
https://www.ccc.de/de/updates/2021/offener-brief-alle-gegen-noch-mehr-staatstrojaner
https://www.heise.de/suche/?q=luca&sort_by=date&rm=search
u.a.
https://www.heise.de/tp/features/Wie-Digital-Detox-systematisch-erschwert-wird-6059260.html
https://www.heise.de/news/Luca-first-Bedenken-second-Pandemiebekaempfung-mit-lueckenhafter-Software-6020201.html
https://www.heise.de/meinung/Was-war-Was-wird-Von-den-Anfaengen-der-EDV-bis-zum-Digitalzwang-Melder-6063070.html
*** Um beim Thema zu bleiben:
CovPass ist da.
In Berlin-Tempelhof und in Potsdam wurde der bundesweite Feldversuch mit dem digitalen Covid-Impfnachweis gestartet.
30 Zertifikate werden tagtäglich produziert und auf das passende Smartphone transportiert.
Jetzt beginnt das hübsche Verwirrspielchen wie bei den Diskussionen um die Corona-Warn-Apps.
Denn CovPass ist nicht der digitale Impfnachweis, den die Gematik für die Ärzteschaft als MIO (medizinisches Informations-Objekt) entwickelt.
Er ist auch nicht der grüne digitale Impfnachweis, der von der EU für das Reisen spezifiziert wurde.
Und dann gibt es noch ganz andere Sachen wie etwa die Immunkarte, die Apotheker:innen ausstellen sollen.
Ein Blick zu den Nachbarn ist auch nicht schlecht.
Da soll in Österreich ein hübsches Zentralregister entstehen und die britische Variante ist auch nicht von schlechten Eltern.
Dann gibt es noch eine Schweizer Spezialität.
https://www.heise.de/meinung/Was-war-Was-wird-Mit-einem-szenischen-Einstieg-6057219.html
https://www.heise.de/news/Der-BaerCODE-Digitale-Signatur-als-Corona-Test-oder-Impfnachweis-6050483.html
Das Video des Sicherheitsforschers Markus Mengs
"eine schwerwiegende Sicherheitslücke in der Luca App bewiesen."
Link
https://www.youtube.com/watch?v=xTljfac-0ag
dazu wurde gelöscht
Dieses Video wurde entfernt, weil es gegen die Community-Richtlinien von YouTube verstößt.
Weitere Informationen
Marcus Mengs
https://twitter.com/mame82
https://twitter.com/_luciApp
andere
https://twitter.com/hashtag/LucaFail?src=hashtag_click
Landkreis Osnabrück darf auf seiner Website nicht allein für die #LUCAApp werben. Schade dass der Steuerzahler darür tief in die Tasche greifen musste -
https://twitter.com/koos/status/1410166780497104898
->
https://www.verwaltungsgericht-osnabrueck.niedersachsen.de/aktuelles/pressemitteilungen/landkreis-osnabruck-darf-auf-seiner-website-nicht-allein-fur-die-luca-app-werben-201423.html
Bianca Kastl
– IT-Entwicklerin unterstützt Gesundheitsamt Bodenseekreis beim Kontaktmanagement
https://twitter.com/bkastl
Video
https://media.ccc.de/v/cccs-202105-lucatrack-und-andere-gefahren
Marcus Mengs
@mame82
Replying to @Flo_Rian @waki_miko and @anked
Wie geil, #LucaApp klettert mit Bewertungen von 2 auf über 4, weil die Nutzer beim neuen "in-app rating" denken,
sie würden Restaurants bewerten.
Gewusst wie, Chapeau an die Entwickler
https://twitter.com/mame82/status/1414315376708554759