Bewegungsprofil auslesbar: CCC fordert "Bundesnotbremse" für Luca-App

Sicherheitsforscher warnen vor einer gravierenden Sicherheitslücke beim Kontaktnachverfolgungssystem Luca. Mit dem Foto eines beliebigen Schlüsselanhängers, der parallel zur Luca-App ebenfalls verwendet wird, lasse sich mit einfachen Programmierkenntnissen unbemerkt das Bewegungsprofil des Nutzers auslesen, teilte ein Team, das sich Luca-Track nennt, am Mittwoch mit. Die Gruppe forderte die Verantwortlichen dazu auf, mehr als 100.000 bereits im Umlauf befindliche Luca-Schlüsselanhänger aus dem Verkehr zu ziehen, um die Ausnutzung dieser Sicherheitslücke zu verhindern.

Die Luca-App soll die Kontaktnachverfolgung mit Zetteln und Listen ersetzen. Doch bei dem System häuften sich in den vergangenen Wochen Berichte über Programmierfehler, unklare Lizenzvereinbarungen und problematische Datenschutzvorkehrungen. Bereits vor Ostern war bekanntgeworden, dass es schwere Mängel bei der Registrierung der Schlüsselanhänger gab. Diese konnten ohne Registrierung genutzt werden und auch die Freischaltung über eine Transaktionsnummer (Tan) soll mit einer beliebigen sechsstelligen Zahl möglich sein.

Auslesen über Web-Anwendungen möglich

Nach Angaben von Luca-Track lassen sich die Registrierungsinformationen der Schlüsselanhänger, die in einem QR-Code gespeichert sind, aus der Scanner-Anwendung von Luca auslesen. Dieser Scanner lässt sich über eine Webseite nutzen, die Veranstaltern bereitgestellt wird und sich in jedem gängigen Browser aufrufen lässt. "Durch Setzen eines simplen Breakpoints (eines Haltepunkts, der Diagnoseinformationen ausgibt) im Browser lassen sich die Registrierungsinformationen eines beliebigen Schlüsselanhängers problemlos beim Scan auslesen", heißt es weiter.

Diese Informationen ließen sich über eine Web-App von Luca nach einer einfachen Anpassung wieder einspielen. Die Web-App zeige dadurch die komplette vorherige Historie des Nutzers, dessen Registrierungsinformationen erlangt wurden. Das Aufrufen der Historie sei sogar mit einem Python-Script noch einfacher möglich, wurde in einem Video demonstriert.

Angezeigt würden genaue Geo-Koordinaten aller registrierten Orte sowie Adressen der Check-ins. Auch die genaue Zeit der Check-ins an allen Orten sei zu sehen. Die hinterlegten Personendaten konnten jedoch nicht direkt extrahiert werden. Die Behauptung von Luca, wonach "nur das Gesundheitsamt" die Kontakthistorie anfragen und entschlüsseln könne, treffe daher nicht zu. Das Team von Luca-Track empfiehlt, alle Schlüsselanhänger "fachgerecht zu entsorgen".

Nach Angaben der Luca-Betreiber werden die Schlüsselanhänger teilweise von Gemeinden und Landkreisen vertrieben. Von Ende April 2021 an könnten sie auch über den Webshop von Luca bestellt werden.

CCC fordert Moratorium

Wegen der anhaltenden Probleme mit dem Luca-System forderte der Chaos Computer Club (CCC) am Dienstag eine "Bundesnotbremse" für die Lizenzierung der App durch die Länder. "In den vergangenen Wochen wurden eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung der Luca-App aufgedeckt. Die nicht abreißende Serie von Sicherheitsproblemen und die unbeholfenen Reaktionen des Herstellers zeugen von einem grundlegenden Mangel an Kompetenz und Sorgfalt", schrieb der Hackerclub.

Daher fordere der CCC "ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs". Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten verbiete sich der ländersubventionierte Roll-out ungeprüfter Software von selbst.

Inzwischen gaben 13 Bundesländer zusammen schon fast 20 Millionen Euro für die Lizenzierung der App aus. Die höchsten Gebühren zahlte demnach Bayern mit 5,5 Millionen Euro für eine Jahreslizenz. Mecklenburg-Vorpommern, das als erstes Bundesland einen Vertrag mit dem App-Betreiber Culture4life abgeschlossen hatte, zahlte hingegen nur 440.000 Euro. Berlin ließ sich die Lizenz eine Million Euro kosten.

Immer wieder Probleme mit der App

Rund um die Luca-App tauchten in den vergangenen Tagen immer wieder kleine und größere Probleme und Lücken auf. So kann man sich von beliebigen Orten aus per Luca bei Veranstaltungen einchecken. Notwendig ist dafür lediglich der QR-Code. Ebenfalls sind etwa die API-Endpunkte case-insensitive, so dass die darüber umgesetzte zeitweise Sperrung beziehungsweise ein Rate-Limiting leicht umgangen werden kann. Dazu reicht es offenbar aus, aus einem der kleingeschriebenen Buchstaben in der URL einen Großbuchstaben zu machen. Das CCC-Mitglied und Teil der AG-Kritis, Manuel Atug alias Honkhase, sammelt seit Tagen derartige Meldungen zu Luca in einem ausführlichen Thread auf Twitter. Inzwischen trug Atug mehr als 250 einzelne Hinweise zusammen.

Darüber hinaus warnen seit Wochen verschiedene Datenschützer vor der Nutzung der App, zuletzt forderte der Hamburgische Datenschützer Johannes Caspar eine datenschutzrechtliche Bewertung. Das Gesamtsystem der Luca-App ist außerdem weiterhin nicht Open Source und damit nicht unabhängig überprüfbar. Die Offenlegung des Codes für den Android-Client haben wir in einem Kommentar als schlechten Open-Source-Versuch bezeichnet.

Nachtrag vom 14. April 2021, 10:52 Uhr

Die Betreiber der Luca-App bestätigten am Mittwoch die Sicherheitslücke. "Wir wurden heute im Rahmen einer Meldung darauf aufmerksam gemacht, dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten. Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung. Es konnten zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abgerufen werden", hieß es in einer Mitteilung. Den Nutzern der Schlüsselanhänger werde empfohlen, diesen nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers mit dessen QR-Code im Internet zu veröffentlichen.