• IT-Karriere:
  • Services:

Viele Informationen in der Luca-App-API

Im Falle des Osnabrücker Zoos haben zusätzlich zu Böhmermann in der vergangenen Nacht wohl mehr als 100 Personen dort eingecheckt. Die Zahl der Besucher eines Ortes lässt sich frei über die Luca-API abrufen und dann auswerten. Für den Zoo Osnabrück hat Nutzer Street Dogg dies über eine eigene kleine Web-App umgesetzt, die die Zahl der eingecheckten Besucher in einem kurzen Zeitstrahl darstellt.

Stellenmarkt
  1. Deutsche Bundesbank, Frankfurt am Main, Düsseldorf
  2. Kommunaler Versorgungsverband Baden-Württemberg, Karlsruhe

Über die API lassen sich aus den QR-Codes auch noch andere Informationen extrahieren, wie etwa die genaue Adresse, woraus sich wiederum Probleme für die Privatsphäre der Nutzer ergeben könnten.

Die Bundestagsabgeordnete Anke Domscheit-Berg (Die Linke) kritisiert darüber hinaus - wie auch andere -, dass die QR-Codes zum Check-in für riesige Flächen gelten. Im Falle des Osnabrücker Zoos sind dies über 20 ha, in Rostock sogar 56 ha, ein Einkaufszentrum mit 22 ha Fläche wird ebenfalls genannt. Die so per Check-in zur Kontaktnachverfolgung gesammelten Daten dürften die Gesundheitsämter nicht sinnvoll nutzen können, außer sie fordern Tests und ordnen Quarantäne für täglich mehrere Hundert oder gar Tausende Besucher pro Veranstaltungsort an.

Weitere Probleme mit der Luca-App

Probleme gibt es offenbar auch beim automatisierten Check-out, der wohl immer noch nicht für Android umgesetzt ist. Bei den Schlüsselanhängern, mit denen das Luca-App-Team ebenfalls Probleme hatte, ist dies offenbar auch gar nicht vorgesehen. Domscheit-Berg weist darauf hin, dass der automatisierte Check-out auf einem Umkreis in einem festen Radius um einen bestimmten Punkt herum basiert. Bei größeren Veranstaltungsorten könnte dies zu fehlerhaften Check-outs führen.

Rund um die Luca-App sind in den vergangenen Tage immer wieder kleine und größere Probleme und Lücken aufgetaucht. So sind etwa die API-Endpunkte case-insensitive, so dass die darüber umgesetzte zeitweise Sperrung beziehungsweise ein Rate-Limiting leicht umgangen werden kann. Dazu reicht es offenbar aus, aus einem der kleingeschriebenen Buchstaben in der URL einen Großbuchstaben zu machen. Das CCC-Mitglied und Teil der AG-Kritis, Manuel Atug alias Honkhase, sammelt seit Tagen derartige Meldungen zu Luca in einem sehr ausführlichen Thread auf Twitter. Inzwischen hat Atug mehr als 250 einzelne Hinweise zusammengetragen.

Erst vor wenigen Tagen ist bekanntgeworden, dass es schwere Mängel bei der Registrierung von Schlüsselanhängern der Luca-App gegeben hat. Diese konnten komplett ohne Registrierung genutzt werden und auch die Freischaltung über eine Transaktionsnummer (Tan) soll mit einer beliebigen sechsstelligen Zahl möglich sein. Das Team hat dies eigenen Angaben zufolge direkt behoben.

Darüber hinaus warnen seit Wochen verschiedenen Datenschützer vor der Nutzung der App, zuletzt forderte der Hamburgische Datenschützer Johannes Caspar eine datenschutzrechtliche Bewertung. Das Gesamtsystem der Luca-App ist außerdem weiterhin nicht Open-Source und damit nicht unabhängig überprüfbar. Die Offenlegung des Codes für den Android-Client haben wir in einem Kommentar als schlechten Open-Source-Versuch bezeichnet.

Nachtrag vom 7. April 2021, 13:40 Uhr

Wir haben den Text um die Stellungnahme der Macher der Luca-App ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Coronapandemie: Luca-App ermöglicht Check-ins von beliebigen Orten aus
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X für 469€)

User_x 09. Apr 2021 / Themenstart

Dann nimm dir das wichtigste Argument eines Rechtsstaates und bau die...

MikeU 08. Apr 2021 / Themenstart

In die Tonne hauen das Teil und gut ist es. Denn diese Dilletanten von Machern kriegen...

MFGSparka 08. Apr 2021 / Themenstart

Zum Glück müssen wir unsere Geduld nur noch bis zum 16.04. unter Kontrolle halten und...

BlindSeer 08. Apr 2021 / Themenstart

Weil man hier Probleme auf den bösen Datenschutz schieben kann, ohne etwas tun zu müssen...

LarusNagel 08. Apr 2021 / Themenstart

Wenn man für eine Location genügend falsche Check-Ins hat, dann ist die ganze...

Kommentieren


Folgen Sie uns
       


Gaming auf dem Chromebook ausprobiert

Wir haben uns Spielestreaming und natives Gaming auf dem Chromebook angesehen.

Gaming auf dem Chromebook ausprobiert Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /