Bewegungsprofil auslesbar: CCC fordert "Bundesnotbremse" für Luca-App

Schon wieder haben Sicherheitsforscher Probleme bei der Luca-App entdeckt. Bei den Schlüsselanhängern lässt sich das Bewegungsprofil der Nutzer auslesen.

Artikel veröffentlicht am ,
Immer mehr Anbieter nutzen die Luca-App.
Immer mehr Anbieter nutzen die Luca-App. (Bild: Friedhelm Greis/Golem.de)

Sicherheitsforscher warnen vor einer gravierenden Sicherheitslücke beim Kontaktnachverfolgungssystem Luca. Mit dem Foto eines beliebigen Schlüsselanhängers, der parallel zur Luca-App ebenfalls verwendet wird, lasse sich mit einfachen Programmierkenntnissen unbemerkt das Bewegungsprofil des Nutzers auslesen, teilte ein Team, das sich Luca-Track nennt, am Mittwoch mit. Die Gruppe forderte die Verantwortlichen dazu auf, mehr als 100.000 bereits im Umlauf befindliche Luca-Schlüsselanhänger aus dem Verkehr zu ziehen, um die Ausnutzung dieser Sicherheitslücke zu verhindern.

Stellenmarkt
  1. BI-Manager (w/m/d)
    VGH Versicherungen, Hannover
  2. IT-Mitarbeiter (m/w/d) für klinische Anwendungen und Digitalisierungsprojekte
    Diakonie-Klinikum Stuttgart, Stuttgart
Detailsuche

Die Luca-App soll die Kontaktnachverfolgung mit Zetteln und Listen ersetzen. Doch bei dem System häuften sich in den vergangenen Wochen Berichte über Programmierfehler, unklare Lizenzvereinbarungen und problematische Datenschutzvorkehrungen. Bereits vor Ostern war bekanntgeworden, dass es schwere Mängel bei der Registrierung der Schlüsselanhänger gab. Diese konnten ohne Registrierung genutzt werden und auch die Freischaltung über eine Transaktionsnummer (Tan) soll mit einer beliebigen sechsstelligen Zahl möglich sein.

Auslesen über Web-Anwendungen möglich

Nach Angaben von Luca-Track lassen sich die Registrierungsinformationen der Schlüsselanhänger, die in einem QR-Code gespeichert sind, aus der Scanner-Anwendung von Luca auslesen. Dieser Scanner lässt sich über eine Webseite nutzen, die Veranstaltern bereitgestellt wird und sich in jedem gängigen Browser aufrufen lässt. "Durch Setzen eines simplen Breakpoints (eines Haltepunkts, der Diagnoseinformationen ausgibt) im Browser lassen sich die Registrierungsinformationen eines beliebigen Schlüsselanhängers problemlos beim Scan auslesen", heißt es weiter.

Diese Informationen ließen sich über eine Web-App von Luca nach einer einfachen Anpassung wieder einspielen. Die Web-App zeige dadurch die komplette vorherige Historie des Nutzers, dessen Registrierungsinformationen erlangt wurden. Das Aufrufen der Historie sei sogar mit einem Python-Script noch einfacher möglich, wurde in einem Video demonstriert.

Golem Akademie
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
  2. Microsoft Dynamics 365 Guides mit HoloLens 2: virtueller Ein-Tages-Workshop
    16. Februar 2022, Virtuell
Weitere IT-Trainings

Angezeigt würden genaue Geo-Koordinaten aller registrierten Orte sowie Adressen der Check-ins. Auch die genaue Zeit der Check-ins an allen Orten sei zu sehen. Die hinterlegten Personendaten konnten jedoch nicht direkt extrahiert werden. Die Behauptung von Luca, wonach "nur das Gesundheitsamt" die Kontakthistorie anfragen und entschlüsseln könne, treffe daher nicht zu. Das Team von Luca-Track empfiehlt, alle Schlüsselanhänger "fachgerecht zu entsorgen".

Nach Angaben der Luca-Betreiber werden die Schlüsselanhänger teilweise von Gemeinden und Landkreisen vertrieben. Von Ende April 2021 an könnten sie auch über den Webshop von Luca bestellt werden.

CCC fordert Moratorium

Wegen der anhaltenden Probleme mit dem Luca-System forderte der Chaos Computer Club (CCC) am Dienstag eine "Bundesnotbremse" für die Lizenzierung der App durch die Länder. "In den vergangenen Wochen wurden eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung der Luca-App aufgedeckt. Die nicht abreißende Serie von Sicherheitsproblemen und die unbeholfenen Reaktionen des Herstellers zeugen von einem grundlegenden Mangel an Kompetenz und Sorgfalt", schrieb der Hackerclub.

Daher fordere der CCC "ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs". Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten verbiete sich der ländersubventionierte Roll-out ungeprüfter Software von selbst.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Inzwischen gaben 13 Bundesländer zusammen schon fast 20 Millionen Euro für die Lizenzierung der App aus. Die höchsten Gebühren zahlte demnach Bayern mit 5,5 Millionen Euro für eine Jahreslizenz. Mecklenburg-Vorpommern, das als erstes Bundesland einen Vertrag mit dem App-Betreiber Culture4life abgeschlossen hatte, zahlte hingegen nur 440.000 Euro. Berlin ließ sich die Lizenz eine Million Euro kosten.

Immer wieder Probleme mit der App

Rund um die Luca-App tauchten in den vergangenen Tagen immer wieder kleine und größere Probleme und Lücken auf. So kann man sich von beliebigen Orten aus per Luca bei Veranstaltungen einchecken. Notwendig ist dafür lediglich der QR-Code. Ebenfalls sind etwa die API-Endpunkte case-insensitive, so dass die darüber umgesetzte zeitweise Sperrung beziehungsweise ein Rate-Limiting leicht umgangen werden kann. Dazu reicht es offenbar aus, aus einem der kleingeschriebenen Buchstaben in der URL einen Großbuchstaben zu machen. Das CCC-Mitglied und Teil der AG-Kritis, Manuel Atug alias Honkhase, sammelt seit Tagen derartige Meldungen zu Luca in einem ausführlichen Thread auf Twitter. Inzwischen trug Atug mehr als 250 einzelne Hinweise zusammen.

Darüber hinaus warnen seit Wochen verschiedene Datenschützer vor der Nutzung der App, zuletzt forderte der Hamburgische Datenschützer Johannes Caspar eine datenschutzrechtliche Bewertung. Das Gesamtsystem der Luca-App ist außerdem weiterhin nicht Open Source und damit nicht unabhängig überprüfbar. Die Offenlegung des Codes für den Android-Client haben wir in einem Kommentar als schlechten Open-Source-Versuch bezeichnet.

Nachtrag vom 14. April 2021, 10:52 Uhr

Die Betreiber der Luca-App bestätigten am Mittwoch die Sicherheitslücke. "Wir wurden heute im Rahmen einer Meldung darauf aufmerksam gemacht, dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten. Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung. Es konnten zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abgerufen werden", hieß es in einer Mitteilung. Den Nutzern der Schlüsselanhänger werde empfohlen, diesen nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers mit dessen QR-Code im Internet zu veröffentlichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Iruwen 15. Apr 2021

Dass Freiwilligkeit nicht funktioniert haben wir jetzt ein Jahr lang bewiesen, das...

Trollversteher 15. Apr 2021

Haha, ja, passiert auch immer wieder mal, ich verstehe auch nicht ganz warum in der...

BlindSeer 15. Apr 2021

Luca hat Smudo, was kann da schon schief gehen. ;) Die nicht IT-Presse vermeided auch...

Iruwen 15. Apr 2021

Das ist auch ein Problem der aktuellen Regelungen, unser Edeka hat z. B. viel Ladenfläche...

Trollversteher 15. Apr 2021

Au weia, exakt das ist deren Aufgabe - der CCC ist kein Entwicklerstudio sondern...



Aktuell auf der Startseite von Golem.de
Sam Zeloof
Student baut Chip mit 1.200 Transistoren

In seiner Garage hat Sam Zeloof den Z2 fertiggestellt und merkt scherzhaft an, Moore's Law schneller umgesetzt zu haben als Intel selbst.

Sam Zeloof: Student baut Chip mit 1.200 Transistoren
Artikel
  1. Xbox Cloud Gaming: Wenn ich groß bin, möchte ich gerne Netflix werden
    Xbox Cloud Gaming
    Wenn ich groß bin, möchte ich gerne Netflix werden

    Call of Duty, Fallout oder Halo: Neue Spiele bequem am Business-Laptop via Stream zocken, klingt zu gut, um wahr zu sein. Ist auch nicht wahr.
    Ein Erfahrungsbericht von Benjamin Sterbenz

  2. IBM: Watson Health anteilig für 1 Mrd. US-Dollar verkauft
    IBM
    Watson Health anteilig für 1 Mrd. US-Dollar verkauft

    Mit Francisco Partners greift eine große Investmentgruppe zu, das Geschäft mit Watson Health soll laut IBM darunter aber nicht leiden.

  3. Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
    Lego Star Wars UCS AT-AT aufgebaut
    "Das ist kein Mond, das ist ein Lego-Modell"

    Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
    Ein Praxistest von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MediaMarkt & Saturn: Heute alle Produkte versandkostenfrei • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 114,90€ • Alternate (u.a. DeepCool AS500 Plus 61,89€) • Acer XV282K UHD/144 Hz 724,61€ • MindStar (u.a. be quiet! Pure Power 11 CM 600W 59€) • Sony-TVs heute im Angebot [Werbung]
    •  /