Bewegungsprofil auslesbar: CCC fordert "Bundesnotbremse" für Luca-App

Schon wieder haben Sicherheitsforscher Probleme bei der Luca-App entdeckt. Bei den Schlüsselanhängern lässt sich das Bewegungsprofil der Nutzer auslesen.

Artikel veröffentlicht am ,
Immer mehr Anbieter nutzen die Luca-App.
Immer mehr Anbieter nutzen die Luca-App. (Bild: Friedhelm Greis/Golem.de)

Sicherheitsforscher warnen vor einer gravierenden Sicherheitslücke beim Kontaktnachverfolgungssystem Luca. Mit dem Foto eines beliebigen Schlüsselanhängers, der parallel zur Luca-App ebenfalls verwendet wird, lasse sich mit einfachen Programmierkenntnissen unbemerkt das Bewegungsprofil des Nutzers auslesen, teilte ein Team, das sich Luca-Track nennt, am Mittwoch mit. Die Gruppe forderte die Verantwortlichen dazu auf, mehr als 100.000 bereits im Umlauf befindliche Luca-Schlüsselanhänger aus dem Verkehr zu ziehen, um die Ausnutzung dieser Sicherheitslücke zu verhindern.

Die Luca-App soll die Kontaktnachverfolgung mit Zetteln und Listen ersetzen. Doch bei dem System häuften sich in den vergangenen Wochen Berichte über Programmierfehler, unklare Lizenzvereinbarungen und problematische Datenschutzvorkehrungen. Bereits vor Ostern war bekanntgeworden, dass es schwere Mängel bei der Registrierung der Schlüsselanhänger gab. Diese konnten ohne Registrierung genutzt werden und auch die Freischaltung über eine Transaktionsnummer (Tan) soll mit einer beliebigen sechsstelligen Zahl möglich sein.

Auslesen über Web-Anwendungen möglich

Nach Angaben von Luca-Track lassen sich die Registrierungsinformationen der Schlüsselanhänger, die in einem QR-Code gespeichert sind, aus der Scanner-Anwendung von Luca auslesen. Dieser Scanner lässt sich über eine Webseite nutzen, die Veranstaltern bereitgestellt wird und sich in jedem gängigen Browser aufrufen lässt. "Durch Setzen eines simplen Breakpoints (eines Haltepunkts, der Diagnoseinformationen ausgibt) im Browser lassen sich die Registrierungsinformationen eines beliebigen Schlüsselanhängers problemlos beim Scan auslesen", heißt es weiter.

Diese Informationen ließen sich über eine Web-App von Luca nach einer einfachen Anpassung wieder einspielen. Die Web-App zeige dadurch die komplette vorherige Historie des Nutzers, dessen Registrierungsinformationen erlangt wurden. Das Aufrufen der Historie sei sogar mit einem Python-Script noch einfacher möglich, wurde in einem Video demonstriert.

Angezeigt würden genaue Geo-Koordinaten aller registrierten Orte sowie Adressen der Check-ins. Auch die genaue Zeit der Check-ins an allen Orten sei zu sehen. Die hinterlegten Personendaten konnten jedoch nicht direkt extrahiert werden. Die Behauptung von Luca, wonach "nur das Gesundheitsamt" die Kontakthistorie anfragen und entschlüsseln könne, treffe daher nicht zu. Das Team von Luca-Track empfiehlt, alle Schlüsselanhänger "fachgerecht zu entsorgen".

Nach Angaben der Luca-Betreiber werden die Schlüsselanhänger teilweise von Gemeinden und Landkreisen vertrieben. Von Ende April 2021 an könnten sie auch über den Webshop von Luca bestellt werden.

CCC fordert Moratorium

Wegen der anhaltenden Probleme mit dem Luca-System forderte der Chaos Computer Club (CCC) am Dienstag eine "Bundesnotbremse" für die Lizenzierung der App durch die Länder. "In den vergangenen Wochen wurden eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung der Luca-App aufgedeckt. Die nicht abreißende Serie von Sicherheitsproblemen und die unbeholfenen Reaktionen des Herstellers zeugen von einem grundlegenden Mangel an Kompetenz und Sorgfalt", schrieb der Hackerclub.

Daher fordere der CCC "ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs". Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten verbiete sich der ländersubventionierte Roll-out ungeprüfter Software von selbst.

Inzwischen gaben 13 Bundesländer zusammen schon fast 20 Millionen Euro für die Lizenzierung der App aus. Die höchsten Gebühren zahlte demnach Bayern mit 5,5 Millionen Euro für eine Jahreslizenz. Mecklenburg-Vorpommern, das als erstes Bundesland einen Vertrag mit dem App-Betreiber Culture4life abgeschlossen hatte, zahlte hingegen nur 440.000 Euro. Berlin ließ sich die Lizenz eine Million Euro kosten.

Immer wieder Probleme mit der App

Rund um die Luca-App tauchten in den vergangenen Tagen immer wieder kleine und größere Probleme und Lücken auf. So kann man sich von beliebigen Orten aus per Luca bei Veranstaltungen einchecken. Notwendig ist dafür lediglich der QR-Code. Ebenfalls sind etwa die API-Endpunkte case-insensitive, so dass die darüber umgesetzte zeitweise Sperrung beziehungsweise ein Rate-Limiting leicht umgangen werden kann. Dazu reicht es offenbar aus, aus einem der kleingeschriebenen Buchstaben in der URL einen Großbuchstaben zu machen. Das CCC-Mitglied und Teil der AG-Kritis, Manuel Atug alias Honkhase, sammelt seit Tagen derartige Meldungen zu Luca in einem ausführlichen Thread auf Twitter. Inzwischen trug Atug mehr als 250 einzelne Hinweise zusammen.

Darüber hinaus warnen seit Wochen verschiedene Datenschützer vor der Nutzung der App, zuletzt forderte der Hamburgische Datenschützer Johannes Caspar eine datenschutzrechtliche Bewertung. Das Gesamtsystem der Luca-App ist außerdem weiterhin nicht Open Source und damit nicht unabhängig überprüfbar. Die Offenlegung des Codes für den Android-Client haben wir in einem Kommentar als schlechten Open-Source-Versuch bezeichnet.

Nachtrag vom 14. April 2021, 10:52 Uhr

Die Betreiber der Luca-App bestätigten am Mittwoch die Sicherheitslücke. "Wir wurden heute im Rahmen einer Meldung darauf aufmerksam gemacht, dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten. Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung. Es konnten zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abgerufen werden", hieß es in einer Mitteilung. Den Nutzern der Schlüsselanhänger werde empfohlen, diesen nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers mit dessen QR-Code im Internet zu veröffentlichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Iruwen 15. Apr 2021

Dass Freiwilligkeit nicht funktioniert haben wir jetzt ein Jahr lang bewiesen, das...

Trollversteher 15. Apr 2021

Haha, ja, passiert auch immer wieder mal, ich verstehe auch nicht ganz warum in der...

BlindSeer 15. Apr 2021

Luca hat Smudo, was kann da schon schief gehen. ;) Die nicht IT-Presse vermeided auch...

Iruwen 15. Apr 2021

Das ist auch ein Problem der aktuellen Regelungen, unser Edeka hat z. B. viel Ladenfläche...



Aktuell auf der Startseite von Golem.de
Truppenversuch
Microsofts Kampfbrille macht Soldaten schlechter

Beim Truppenversuch der modifizierten Hololens 2 für die US-Armee hat sich herausgestellt, dass die Soldaten an Kampfkraft einbüßen und die Brillen ablehnen.

Truppenversuch: Microsofts Kampfbrille macht Soldaten schlechter
Artikel
  1. Nutzertest: Deutsche Glasfaser erreicht 1 GBit/s nicht ganz
    Nutzertest
    Deutsche Glasfaser erreicht 1 GBit/s nicht ganz

    Ein Kunde hat seine Hardware aufgerüstet, dennoch bekommt er statt 1 GBit/s nur 950 MBit/s im Download. Deutsche Glasfaser forscht nach.

  2. Morgan Stanley: Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter
    Morgan Stanley
    Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter

    Wegen der Nutzung von Whatsapp hatten Finanzregulatoren 2022 mehrere Banken mit hohen Strafen belegt.

  3. Deutschlandticket: 49-Euro-Ticket kommt erst zum 1. Mai
    Deutschlandticket
    49-Euro-Ticket kommt erst zum 1. Mai

    Fahrgäste können ab dem 1. Mai 2023 für 49 Euro im Monat das Deutschlandticket bundesweit nutzen. Dazu kommt ein bundesweites Jobticket zu einem günstigeren Preis.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • XFX RX 7900 XTX 1.199€ • WSV bei MM • Razer Viper V2 Pro 119,99€ • MindStar: XFX RX 6950 XT 799€, MSI RTX 4090 1.889€ • Epos Sennheiser Game One -55% • RAM/Graka-Preisrutsch • Razer Gaming-Stuhl -41% • 3D-Drucker 249€ • Kingston SSD 1TB 49€ • Asus RTX 4080 1.399€[Werbung]
    •  /