• IT-Karriere:
  • Services:

Bewegungsprofil auslesbar: CCC fordert "Bundesnotbremse" für Luca-App

Schon wieder haben Sicherheitsforscher Probleme bei der Luca-App entdeckt. Bei den Schlüsselanhängern lässt sich das Bewegungsprofil der Nutzer auslesen.

Artikel veröffentlicht am ,
Immer mehr Anbieter nutzen die Luca-App.
Immer mehr Anbieter nutzen die Luca-App. (Bild: Friedhelm Greis/Golem.de)

Sicherheitsforscher warnen vor einer gravierenden Sicherheitslücke beim Kontaktnachverfolgungssystem Luca. Mit dem Foto eines beliebigen Schlüsselanhängers, der parallel zur Luca-App ebenfalls verwendet wird, lasse sich mit einfachen Programmierkenntnissen unbemerkt das Bewegungsprofil des Nutzers auslesen, teilte ein Team, das sich Luca-Track nennt, am Mittwoch mit. Die Gruppe forderte die Verantwortlichen dazu auf, mehr als 100.000 bereits im Umlauf befindliche Luca-Schlüsselanhänger aus dem Verkehr zu ziehen, um die Ausnutzung dieser Sicherheitslücke zu verhindern.

Stellenmarkt
  1. über duerenhoff GmbH, Heidelberg
  2. Universitätsklinikum Münster, Münster

Die Luca-App soll die Kontaktnachverfolgung mit Zetteln und Listen ersetzen. Doch bei dem System häuften sich in den vergangenen Wochen Berichte über Programmierfehler, unklare Lizenzvereinbarungen und problematische Datenschutzvorkehrungen. Bereits vor Ostern war bekanntgeworden, dass es schwere Mängel bei der Registrierung der Schlüsselanhänger gab. Diese konnten ohne Registrierung genutzt werden und auch die Freischaltung über eine Transaktionsnummer (Tan) soll mit einer beliebigen sechsstelligen Zahl möglich sein.

Auslesen über Web-Anwendungen möglich

Nach Angaben von Luca-Track lassen sich die Registrierungsinformationen der Schlüsselanhänger, die in einem QR-Code gespeichert sind, aus der Scanner-Anwendung von Luca auslesen. Dieser Scanner lässt sich über eine Webseite nutzen, die Veranstaltern bereitgestellt wird und sich in jedem gängigen Browser aufrufen lässt. "Durch Setzen eines simplen Breakpoints (eines Haltepunkts, der Diagnoseinformationen ausgibt) im Browser lassen sich die Registrierungsinformationen eines beliebigen Schlüsselanhängers problemlos beim Scan auslesen", heißt es weiter.

Diese Informationen ließen sich über eine Web-App von Luca nach einer einfachen Anpassung wieder einspielen. Die Web-App zeige dadurch die komplette vorherige Historie des Nutzers, dessen Registrierungsinformationen erlangt wurden. Das Aufrufen der Historie sei sogar mit einem Python-Script noch einfacher möglich, wurde in einem Video demonstriert.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Angezeigt würden genaue Geo-Koordinaten aller registrierten Orte sowie Adressen der Check-ins. Auch die genaue Zeit der Check-ins an allen Orten sei zu sehen. Die hinterlegten Personendaten konnten jedoch nicht direkt extrahiert werden. Die Behauptung von Luca, wonach "nur das Gesundheitsamt" die Kontakthistorie anfragen und entschlüsseln könne, treffe daher nicht zu. Das Team von Luca-Track empfiehlt, alle Schlüsselanhänger "fachgerecht zu entsorgen".

Nach Angaben der Luca-Betreiber werden die Schlüsselanhänger teilweise von Gemeinden und Landkreisen vertrieben. Von Ende April 2021 an könnten sie auch über den Webshop von Luca bestellt werden.

CCC fordert Moratorium

Wegen der anhaltenden Probleme mit dem Luca-System forderte der Chaos Computer Club (CCC) am Dienstag eine "Bundesnotbremse" für die Lizenzierung der App durch die Länder. "In den vergangenen Wochen wurden eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung der Luca-App aufgedeckt. Die nicht abreißende Serie von Sicherheitsproblemen und die unbeholfenen Reaktionen des Herstellers zeugen von einem grundlegenden Mangel an Kompetenz und Sorgfalt", schrieb der Hackerclub.

Daher fordere der CCC "ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs". Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten verbiete sich der ländersubventionierte Roll-out ungeprüfter Software von selbst.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Inzwischen gaben 13 Bundesländer zusammen schon fast 20 Millionen Euro für die Lizenzierung der App aus. Die höchsten Gebühren zahlte demnach Bayern mit 5,5 Millionen Euro für eine Jahreslizenz. Mecklenburg-Vorpommern, das als erstes Bundesland einen Vertrag mit dem App-Betreiber Culture4life abgeschlossen hatte, zahlte hingegen nur 440.000 Euro. Berlin ließ sich die Lizenz eine Million Euro kosten.

Immer wieder Probleme mit der App

Rund um die Luca-App tauchten in den vergangenen Tagen immer wieder kleine und größere Probleme und Lücken auf. So kann man sich von beliebigen Orten aus per Luca bei Veranstaltungen einchecken. Notwendig ist dafür lediglich der QR-Code. Ebenfalls sind etwa die API-Endpunkte case-insensitive, so dass die darüber umgesetzte zeitweise Sperrung beziehungsweise ein Rate-Limiting leicht umgangen werden kann. Dazu reicht es offenbar aus, aus einem der kleingeschriebenen Buchstaben in der URL einen Großbuchstaben zu machen. Das CCC-Mitglied und Teil der AG-Kritis, Manuel Atug alias Honkhase, sammelt seit Tagen derartige Meldungen zu Luca in einem ausführlichen Thread auf Twitter. Inzwischen trug Atug mehr als 250 einzelne Hinweise zusammen.

Darüber hinaus warnen seit Wochen verschiedene Datenschützer vor der Nutzung der App, zuletzt forderte der Hamburgische Datenschützer Johannes Caspar eine datenschutzrechtliche Bewertung. Das Gesamtsystem der Luca-App ist außerdem weiterhin nicht Open Source und damit nicht unabhängig überprüfbar. Die Offenlegung des Codes für den Android-Client haben wir in einem Kommentar als schlechten Open-Source-Versuch bezeichnet.

Nachtrag vom 14. April 2021, 10:52 Uhr

Die Betreiber der Luca-App bestätigten am Mittwoch die Sicherheitslücke. "Wir wurden heute im Rahmen einer Meldung darauf aufmerksam gemacht, dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten. Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung. Es konnten zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abgerufen werden", hieß es in einer Mitteilung. Den Nutzern der Schlüsselanhänger werde empfohlen, diesen nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers mit dessen QR-Code im Internet zu veröffentlichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Digitale Gästelisten
    Woher kommt der Hass auf die Luca-App?
  2. 12-Volt-Batterie
    James May findet Konstruktionsfehler beim Model S
  3. Patentstreit
    Sonos erwirkt Verkaufsverbot für Google-Smartphones
  4. Warner plant fast 25 Filme und Serien
    Die Zukunft der DC-Helden ist rosig
  5. DSGVO
    Fax ist nicht mehr datenschutzkonform
Anzeige
Hardware-Angebote
  2. (u. a. Ryzen 7 5800X für 469€)
Kommentarübersicht
Re: die andere Seite der Medaille
Iruwen 15. Apr 2021 / Themenstart

Dass Freiwilligkeit nicht funktioniert haben wir jetzt ein Jahr lang bewiesen, das...

Re: Es wird ein quadratischer Kreis erwartet...
Trollversteher 15. Apr 2021 / Themenstart

Haha, ja, passiert auch immer wieder mal, ich verstehe auch nicht ganz warum in der...

Re: Nur in Deutschland
BlindSeer 15. Apr 2021 / Themenstart

Luca hat Smudo, was kann da schon schief gehen. ;) Die nicht IT-Presse vermeided auch...

Re: Und wie will man eine Replay-Attacke bei...
Iruwen 15. Apr 2021 / Themenstart

Das ist auch ein Problem der aktuellen Regelungen, unser Edeka hat z. B. viel Ladenfläche...

Re: Immer wird gemeckert!
Trollversteher 15. Apr 2021 / Themenstart

Au weia, exakt das ist deren Aufgabe - der CCC ist kein Entwicklerstudio sondern...

Kommentieren

Folgen Sie uns
       
Audi E Tron GT Probe gefahren

Der E-Tron GT ist die Oberklasse-Limousine von Audi. Golem.de ist das Elektroauto Probe gefahren.

Audi E Tron GT Probe gefahren Video aufrufen
Arbeit
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden
ERP
Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock

    Elektroauto
    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /