Schon wieder desaströse Sicherheitslücke in Luca App

Das liest man am 26.5. auf netz​po​li​tik​.org:

»Die Kette von Sicherheitslücken bei der Luca App hört nicht auf. Ein Hacker hat nun gezeigt, wie er als Luca-Nutzer die Daten ande­rer Nutzer:innen der App steh­len kann.

Der Sicherheitsforscher Markus Mengs hat eine schwer­wie­gen­de Sicherheitslücke in der Luca App bewie­sen. Damit kön­nen Luca-Nutzer das Gesundheitsamt mit­tels mani­pu­lier­ter Kontaktdaten angrei­fen und damit die Daten wei­te­rer Nutzer:innen steh­len. Auch mög­lich sind wei­te­re Angriffe wie zum Beispiel gan­ze Rechner beim Gesundheitsamt mit Ransomware zu ver­schlüs­seln, weil Angreifer Code aus­füh­ren können…

Lange Kette von Fehlern

Die neu­er­li­che Sicherheitslücke reiht sich ein in eine lan­ge Kette von Fehlern, die das Unternehmen gemacht aber nie zuge­ge­ben hat. Auf eine Anfrage von netz​po​li​tik​.org zur seit Wochen bekann­ten Sicherheitslücke ant­wor­te­te der Luca-App-Sprecher Markus Bublitz: „Haben auch erst heu­te davon erfah­ren, wir schau­en uns das gera­de an.“ Er kün­dig­te für spä­ter ein län­ge­res Statement an.

Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), hat genau die Reaktion erwar­tet und kann es kaum fas­sen, wie er gegen­über netz​po​li​tik​.org sagt: „Wie immer wur­de das Risiko her­un­ter gespielt und die Schwachstelle sogar geleug­net. Die Schwachstellen sind ekla­tant, der Umgang damit kata­stro­phal. Dieses Unternehmen hat kein Vertrauen verdient…“

Grundsätzliches Problem von Luca ist die zen­tra­le Architektur der App. Auch das gro­ße Versprechen der App, die Arbeit der Gesundheitsämter zu erleich­tern ist nicht ein­ge­löst, denn die­se nut­zen Luca kaum. Die Bundesländer haben bis­lang Verträge in Höhe von fast 22 Millionen Euro für eine ein­jäh­ri­ge Lizenz zur Nutzung der Luca App abgeschlossen.

Update 13:50:

In einer an netz​po​li​tik​.org zuge­sand­ten Stellungnahme (PDF) bestä­ti­gen die Betreiber von Luca zwar die Existenz der Sicherheitslücke, schie­ben aber die Verantwortung für eine mög­li­che Bedrohung auf Microsoft Excel und unvor­sich­ti­ge Mitarbeiter:innen in Gesundheitsämtern. Dass letzt­lich ihre Programmierung die Sicherheitslücke beding­te, gibt Luca nicht zu, ver­weist aber auf ein Update, das die Lücke nun schließt. Auf die Frage von netz​po​li​tik​.org, war­um die Lücke nicht nach den ersten Hinweisen auf Zeit Online vor drei Wochen geschlos­sen wur­de, ant­wor­te­te der Luca-Sprecher nicht. Man habe erst heu­te durch eine Medienanfrage und Twitter davon erfah­ren, heißt es in der Presseerklärung.«

15 Antworten auf „Schon wieder desaströse Sicherheitslücke in Luca App“

  1. wir brau­chen uns vor­läu­fig kei­ne Sorgen zu machen, was die digi­ta­le Überwachung betrifft. Die sind ein­fach zu blöd für den Job. Hat je was geklappt, wenn der Spahn was in Auftrag gege­ben hat ?
    Kann mich nicht erin­nern, nur an kor­rup­te Vorgehensweisen was den Impfstoff betrifft und deren Zulassung . Ja, ver­läss­lich ist er auch nicht. Er schmeisst unser Geld zum Fenster raus, lei­der kommt es zur Tür nicht zurück. Ist halt weg bzw. hat jemand anders.. Rücktrittsforderung nimmt er nicht an ( wuss­te gar­nicht das man die ableh­nen kann )weil die Partei hin­ter ihm steht bzw. Merkel.

  2. Luca ist ein typi­sches Failed-by-Design-Produkt. 

    Der Datenabzug auf­grund der Bugs ist ein­ge­preist, denn der hilft dabei, zukünf­tig jgl. Datenschutz aus den Angeln zu heben, so wie es u.a. die Weltbank seit gerau­mer Zeit im Neusprechjargon propagiert.

    Irgendwann stört es näm­lich kei­nen mehr und irgend­wann wird es zur Normalität. Und weil das so ist, wird man sagen, dass das dann eben voll trans­pa­rent erfol­gen muss. Und damit sind die Schleusen der Kapitalprofiteure offen. Und damit wäre das Ziel erreicht.

    Nicht auf der Stirn wer­den sie ihre Daten tra­gen müs­sen, aber am Mann soll­ten sie schon sein. Abrufbar auf Befehl, ein­seh­bar just in time. 

    Sie wer­den schon sehen. Das läuft exakt so ab. Denn sie haben ja nichts zu ver­ber­gen, oder?

  3. Einen Schritt vor­aus: Flo Osrainik bei Ken Jebsen

    "..Nun fin­det auch ein Informationskrieg des Mainstreams und der Behörden gegen kri­ti­sche Medien wie KenFM, RT Deutsch, die NachDenkSeiten, Rubikon oder ein­zel­ne Journalisten, etwa Boris Reitschuster, statt. Deshalb lie­fe­re ich hier natür­lich nur rein vor­sorg­lich alle nöti­gen Quellen und ein paar Eindrücke nach. .."

    https://​neue​-debat​te​.com/​2​0​2​1​/​0​5​/​2​6​/​e​i​n​e​n​-​s​c​h​r​i​t​t​-​v​o​r​a​u​s​-​f​l​o​-​o​s​r​a​i​n​i​k​-​b​e​i​-​k​e​n​-​j​e​b​s​en/

  4. Folgendes skan­da­lö­ses habe ich auf https://​www​.spie​gel​.de/​n​e​t​z​w​e​l​t​/​a​p​p​s​/​c​o​r​o​n​a​k​r​i​s​e​-​d​a​r​f​-​i​c​h​-​o​h​n​e​-​l​u​c​a​-​a​p​p​-​j​e​t​z​t​-​n​i​c​h​t​-​m​e​h​r​-​z​u​-​i​k​e​a​-​a​-​c​a​b​0​5​5​8​a​-​5​c​7​d​-​4​f​8​4​-​8​0​d​2​-​4​5​1​e​e​b​e​9​5​836 gefunden:

    "Braucht man Luca jetzt zum Einkaufen?

    Einige bekann­te Handelsketten wie Ikea, Galeria Karstadt Kaufhof, Thalia und Apollo set­zen Luca schon jetzt ein – teils bun­des­weit, teils an eini­gen Standorten. Dabei vari­iert, wie ent­schie­den auf eine Nutzung der App gepocht wird.

    Auf den Websites der Berliner Ikea-Filialen etwa heißt es expli­zit, für einen Möbelhausbesuch sei künf­tig ein nega­ti­ves Corona-Schnelltest-Ergebnis sowie eine FFP2-Maske erfor­der­lich, aber auch Luca. Auf SPIEGEL-Anfrage bestä­tigt Ikea, dass man es mit Luca ernst meint: »An den Standorten, an denen wir die Luca-App imple­men­tiert haben, prü­fen Mitarbeitende vor Betreten des Einrichtungshauses, ob die App und damit die Kontaktnachverfolgung akti­viert und gewähr­lei­stet ist«, schreibt die Möbelkette und ver­weist auf loka­le Verordnungen und Beschlüsse, die bei­spiels­wei­se auch in Rostock zu einem Einsatz von Luca geführt hätten.

    Die Prüfungen am Eingang beschreibt Ikea so, dass Kundinnen und Kunden sei­nen Mitarbeiterinnen und Mitarbeitern eine Bestätigung ihres Check-ins per Luca vor­zei­gen sol­len. Mit höhe­ren Wartezeiten am Einlass rech­net das Unternehmen dadurch nicht. Kundinnen und Kunden, die das Möbelhaus wie­der ver­las­sen, will Ikea durch Mitarbeiterinnen und Mitarbeiter, aber auch durch »deut­lich sicht­ba­re Kommunikation auf Aufstellern, Plakaten etc.« dar­auf hin­wei­sen, sich wie­der auszuchecken.

    Das liest sich, als sei Luca alter­na­tiv­los. Das Unternehmen schreibt dem SPIEGEL aber auch: »Sollte es Kund*innen nicht mög­lich sein, ihre Kontaktdaten digi­tal über die Luca-App zu erfas­sen, so bie­ten wir ent­spre­chend der loka­len Vorgaben alter­na­ti­ve Registrierungsmöglichkeiten an, wie bei­spiels­wei­se das Ausfüllen eines Kontaktdatenblattes vor Ort.«

    Bei Apollo-Optik ist Luca mehr Option als Vorgabe. »Wir ermög­li­chen es unse­ren Kundinnen und Kunden, die App zu nut­zen«, sagt Firmenchef Jörg Ehmer dem SPIEGEL. »Gleichzeitig gibt es aber kei­ner­lei Verpflichtung dazu. In den Fällen, in denen regio­nal für uns eine Kontaktdatenerfassung vor­ge­schrie­ben ist, bie­ten wir auch einen ande­ren Weg an – für Menschen, die kein digi­ta­les Endgerät nut­zen möch­ten, haben wir einen papier­ge­stütz­ten Prozess eta­bliert.« Kontrollen zum Thema Luca will Apollo nicht durchführen.

    Von der Buchhandelskette Thalia heißt es, man set­ze auf einen »frei­wil­li­gen« Check-in per Luca. Zugleich ver­weist das Unternehmen dar­auf, dass es selbst die Gesundheitsämter vor Ort kon­tak­tie­ren müs­se, um zu klä­ren, ob die Luca-App vor Ort genutzt wer­den dür­fe oder nicht. »Manchmal wird die Genehmigung dann unpro­ble­ma­tisch erteilt«, so Thalia, »in ande­ren Fällen sind die Gesundheitsämter tech­nisch noch gar nicht in der Lage, die App-Daten zu nut­zen. Wir plä­die­ren dafür, die­sen Aufwands-Irrsinn für Behörden und Unternehmen zu been­den und die Luca-App als bun­des­wei­ten Standard zu etablieren.«

    Thalia betont, dass die Daten zur Kontaktnachverfolgung jen­seits von Luca auch bei Online-Terminvereinbarungen oder direkt in der Buchhandlung per Formular erho­ben wür­den. Check-ins über Luca wür­den sich Mitarbeiterinnen und Mitarbeiter am Smartphone der Kundinnen und Kunden zei­gen lassen."

    Nazis darf man nicht sagen, des­we­gen sage ich es auch nicht. Nasen hin­ge­gen schon. Alles Nasen – Nasen, Nasen, Nasen…

    Viele Grüße,
    Der Ösi

  5. »An den Standorten, an denen wir die Luca-App imple­men­tiert haben, prü­fen Mitarbeitende vor Betreten des Einrichtungshauses, ob die App und damit die Kontaktnachverfolgung akti­viert und gewähr­lei­stet ist«
    »Check-ins über Luca wür­den sich Mitarbeiterinnen und Mitarbeiter am Smartphone der Kundinnen und Kunden zei­gen lassen.«
    In bei­den Fällen kann nur die Anzeige auf dem Display kon­trol­liert wer­den, aber nicht ob die­se durch die App erzeugt, oder selbst geba­stelt aus dem Bildspeicher des Smartphone abge­ru­fen wird.
    Man müss­te schon den Kunden wäh­rend des gesam­ten Vorganges auf die Finger sehen. Sollte es jeman­dem gelin­gen den QR-Code am Eingang zu foto­gra­fie­ren war alles umsonst.
    Stellen sie sich ein­mal vor ein Puffbesitzer benutzt den­sel­ben QR-Code dann an sei­nem Etablissement.

  6. BSI kri­ti­siert Luca-App wegen „offen­kun­di­ger“ Schwachstelle
    28.05.2021, 13:41 Uhr • Lesezeit: 2 Min.
    "Das BSI schät­ze das Angriffs-Szenario einer Code-Injection über das Luca-System abhän­gig von der kon­kre­ten Einsatzumgebung als plau­si­bel ein, ließ die Behörde
    via Twitter
    https://​twit​ter​.com/​B​S​I​_​B​u​n​d​/​s​t​a​t​u​s​/​1​3​9​8​1​9​5​2​7​2​4​0​0​9​2​0​578
    verlauten.
    In einem kur­zen Thread woll­te das BSI den vie­len Anfragen begeg­nen, denen es nach eige­nem Bekunden in letz­ter Zeit aus­ge­setzt ist."

    https://​t3n​.de/​n​e​w​s​/​b​s​i​-​k​r​i​t​i​s​i​e​r​t​-​l​u​c​a​-​a​p​p​-​s​c​h​w​a​c​h​s​t​e​l​l​e​-​1​3​8​1​3​94/

    [Anmerkungen:
    – Auf der BSI-Homepage ist Luca KEIN Thema!
    – Laut BSI wur­de kein Auftrag für eine tie­fer­ge­hen­de BSI-Prüfung der App durch die Bundesverwaltung gestellt – sie­he Twitter-Meldung!]

    App zur Kontaktnachverfolgung
    IT-Sicherheitsbehörde prüft Luca-App
    Das Bundesamt für Sicherheit in der Informationstechnik prüft die Luca-App, mit der meh­re­re Bundesländer die Kontakte von Infizierten nach­ver­fol­gen wollen.
    Von Max Hoppenstedt 19.04.2021, 15.37 Uhr

    [Anmerkung:
    Nur durch Dienstleister im Standardverfahren!]
    https://​www​.spie​gel​.de/​n​e​t​z​w​e​l​t​/​a​p​p​s​/​i​t​-​s​i​c​h​e​r​h​e​i​t​s​b​e​h​o​e​r​d​e​-​p​r​u​e​f​t​-​l​u​c​a​-​a​p​p​-​a​-​6​5​1​b​c​2​f​b​-​e​a​4​d​-​4​f​b​8​-​a​e​b​4​-​6​2​d​8​7​f​6​5​4​dfa

  7. Offener Brief:
    Alle gegen noch mehr Staatstrojaner
    2021-06-02 05:06:53, erdgeist

    In einem offe­nen Brief wen­det sich eine denk­bar brei­te Allianz gegen die Gesetzesvorhaben der Bundesregierung, mit der die Erlaubnis zur Nutzung von Staatstrojanern stark aus­ge­wei­tet und zugleich Verschlüsselungsmaßnahmen geschwächt würden.

    Es gibt nur weni­ge Gesetzesvorschläge, bei denen sich ein­fach alle einig sind, dass sie ganz schlech­te Ideen sind.
    Für das Ende der Legislaturperiode hat die Koalition aus CDU, CSU und SPD gleich zwei davon auf der To-Do-Liste:

    Mit dem Gesetz zur Anpassung des Verfassungsschutzrechts sol­len alle deut­schen Geheimdienste die Befugnis zum Hacken erhalten.
    Das Bundespolizeigesetz soll der Behörde nicht nur den Einsatz von Staatstrojanern gestat­ten, son­dern auch noch erlau­ben, damit Personen zu hacken, die gar kei­ne Straftat began­gen haben oder einer ver­däch­tigt werden: 

    Denn neben den ver­däch­ti­gen Zielpersonen sol­len auch Unverdächtige gehackt wer­den dürfen.

    https://​www​.ccc​.de/​d​e​/​u​p​d​a​t​e​s​/​2​0​2​1​/​o​f​f​e​n​e​r​-​b​r​i​e​f​-​a​l​l​e​-​g​e​g​e​n​-​n​o​c​h​-​m​e​h​r​-​s​t​a​a​t​s​t​r​o​j​a​ner

  8. https://​www​.hei​se​.de/​s​u​c​h​e​/​?​q​=​l​u​c​a​&​s​o​r​t​_​b​y​=​d​a​t​e​&​r​m​=​s​e​a​rch

    u.a.
    https://​www​.hei​se​.de/​t​p​/​f​e​a​t​u​r​e​s​/​W​i​e​-​D​i​g​i​t​a​l​-​D​e​t​o​x​-​s​y​s​t​e​m​a​t​i​s​c​h​-​e​r​s​c​h​w​e​r​t​-​w​i​r​d​-​6​0​5​9​2​6​0​.​h​tml

    https://​www​.hei​se​.de/​n​e​w​s​/​L​u​c​a​-​f​i​r​s​t​-​B​e​d​e​n​k​e​n​-​s​e​c​o​n​d​-​P​a​n​d​e​m​i​e​b​e​k​a​e​m​p​f​u​n​g​-​m​i​t​-​l​u​e​c​k​e​n​h​a​f​t​e​r​-​S​o​f​t​w​a​r​e​-​6​0​2​0​2​0​1​.​h​tml

    https://​www​.hei​se​.de/​m​e​i​n​u​n​g​/​W​a​s​-​w​a​r​-​W​a​s​-​w​i​r​d​-​V​o​n​-​d​e​n​-​A​n​f​a​e​n​g​e​n​-​d​e​r​-​E​D​V​-​b​i​s​-​z​u​m​-​D​i​g​i​t​a​l​z​w​a​n​g​-​M​e​l​d​e​r​-​6​0​6​3​0​7​0​.​h​tml

    *** Um beim Thema zu bleiben:
    CovPass ist da.
    In Berlin-Tempelhof und in Potsdam wur­de der bun­des­wei­te Feldversuch mit dem digi­ta­len Covid-Impfnachweis gestartet.
    30 Zertifikate wer­den tag­täg­lich pro­du­ziert und auf das pas­sen­de Smartphone transportiert. 

    Jetzt beginnt das hüb­sche Verwirrspielchen wie bei den Diskussionen um die Corona-Warn-Apps. 

    Denn CovPass ist nicht der digi­ta­le Impfnachweis, den die Gematik für die Ärzteschaft als MIO (medi­zi­ni­sches Informations-Objekt) entwickelt. 

    Er ist auch nicht der grü­ne digi­ta­le Impfnachweis, der von der EU für das Reisen spe­zi­fi­ziert wurde. 

    Und dann gibt es noch ganz ande­re Sachen wie etwa die Immunkarte, die Apotheker:innen aus­stel­len sollen. 

    Ein Blick zu den Nachbarn ist auch nicht schlecht.
    Da soll in Österreich ein hüb­sches Zentralregister ent­ste­hen und die bri­ti­sche Variante ist auch nicht von schlech­ten Eltern.
    Dann gibt es noch eine Schweizer Spezialität.
    https://​www​.hei​se​.de/​m​e​i​n​u​n​g​/​W​a​s​-​w​a​r​-​W​a​s​-​w​i​r​d​-​M​i​t​-​e​i​n​e​m​-​s​z​e​n​i​s​c​h​e​n​-​E​i​n​s​t​i​e​g​-​6​0​5​7​2​1​9​.​h​tml

    https://​www​.hei​se​.de/​n​e​w​s​/​D​e​r​-​B​a​e​r​C​O​D​E​-​D​i​g​i​t​a​l​e​-​S​i​g​n​a​t​u​r​-​a​l​s​-​C​o​r​o​n​a​-​T​e​s​t​-​o​d​e​r​-​I​m​p​f​n​a​c​h​w​e​i​s​-​6​0​5​0​4​8​3​.​h​tml

  9. Marcus Mengs
    https://​twit​ter​.com/​m​a​m​e82

    https://​twit​ter​.com/​_​l​u​c​i​App

    ande­re
    https://​twit​ter​.com/​h​a​s​h​t​a​g​/​L​u​c​a​F​a​i​l​?​s​r​c​=​h​a​s​h​t​a​g​_​c​l​ick

    Landkreis Osnabrück darf auf sei­ner Website nicht allein für die #LUCAApp wer­ben. Schade dass der Steuerzahler darür tief in die Tasche grei­fen musste -
    https://​twit​ter​.com/​k​o​o​s​/​s​t​a​t​u​s​/​1​4​1​0​1​6​6​7​8​0​4​9​7​1​0​4​898
    ->
    https://​www​.ver​wal​tungs​ge​richt​-osna​brueck​.nie​der​sach​sen​.de/​a​k​t​u​e​l​l​e​s​/​p​r​e​s​s​e​m​i​t​t​e​i​l​u​n​g​e​n​/​l​a​n​d​k​r​e​i​s​-​o​s​n​a​b​r​u​c​k​-​d​a​r​f​-​a​u​f​-​s​e​i​n​e​r​-​w​e​b​s​i​t​e​-​n​i​c​h​t​-​a​l​l​e​i​n​-​f​u​r​-​d​i​e​-​l​u​c​a​-​a​p​p​-​w​e​r​b​e​n​-​2​0​1​4​2​3​.​h​tml

    Bianca Kastl
    – IT-Entwicklerin unter­stützt Gesundheitsamt Bodenseekreis beim Kontaktmanagement
    https://​twit​ter​.com/​b​k​a​stl
    Video
    https://​media​.ccc​.de/​v​/​c​c​c​s​-​2​0​2​1​0​5​-​l​u​c​a​t​r​a​c​k​-​u​n​d​-​a​n​d​e​r​e​-​g​e​f​a​h​ren

  10. Marcus Mengs
    @mame82
    Replying to @Flo_Rian @waki_miko and @anked

    Wie geil, #LucaApp klet­tert mit Bewertungen von 2 auf über 4, weil die Nutzer beim neu­en "in-app rating" denken,
    sie wür­den Restaurants bewerten.

    Gewusst wie, Chapeau an die Entwickler 

    https://​twit​ter​.com/​m​a​m​e​8​2​/​s​t​a​t​u​s​/​1​4​1​4​3​1​5​3​7​6​7​0​8​5​5​4​759

Schreibe einen Kommentar zu Bürgerfreund Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert