Viele Informationen in der Luca-App-API

Im Falle des Osnabrücker Zoos haben zusätzlich zu Böhmermann in der vergangenen Nacht wohl mehr als 100 Personen dort eingecheckt. Die Zahl der Besucher eines Ortes lässt sich frei über die Luca-API abrufen und dann auswerten. Für den Zoo Osnabrück hat Nutzer Street Dogg dies über eine eigene kleine Web-App umgesetzt, die die Zahl der eingecheckten Besucher in einem kurzen Zeitstrahl darstellt.

Stellenmarkt
  1. IT-Systemadministrator (m/w/d)
    Rems-Murr-Kliniken gGmbH, Winnenden
  2. Softwareentwickler (m/w/d) Java Full Stack & Cloud
    TraceTronic GmbH, Dresden
Detailsuche

Über die API lassen sich aus den QR-Codes auch noch andere Informationen extrahieren, wie etwa die genaue Adresse, woraus sich wiederum Probleme für die Privatsphäre der Nutzer ergeben könnten.

Die Bundestagsabgeordnete Anke Domscheit-Berg (Die Linke) kritisiert darüber hinaus - wie auch andere -, dass die QR-Codes zum Check-in für riesige Flächen gelten. Im Falle des Osnabrücker Zoos sind dies über 20 ha, in Rostock sogar 56 ha, ein Einkaufszentrum mit 22 ha Fläche wird ebenfalls genannt. Die so per Check-in zur Kontaktnachverfolgung gesammelten Daten dürften die Gesundheitsämter nicht sinnvoll nutzen können, außer sie fordern Tests und ordnen Quarantäne für täglich mehrere Hundert oder gar Tausende Besucher pro Veranstaltungsort an.

Weitere Probleme mit der Luca-App

Probleme gibt es offenbar auch beim automatisierten Check-out, der wohl immer noch nicht für Android umgesetzt ist. Bei den Schlüsselanhängern, mit denen das Luca-App-Team ebenfalls Probleme hatte, ist dies offenbar auch gar nicht vorgesehen. Domscheit-Berg weist darauf hin, dass der automatisierte Check-out auf einem Umkreis in einem festen Radius um einen bestimmten Punkt herum basiert. Bei größeren Veranstaltungsorten könnte dies zu fehlerhaften Check-outs führen.

Golem Akademie
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
  2. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
Weitere IT-Trainings

Rund um die Luca-App sind in den vergangenen Tage immer wieder kleine und größere Probleme und Lücken aufgetaucht. So sind etwa die API-Endpunkte case-insensitive, so dass die darüber umgesetzte zeitweise Sperrung beziehungsweise ein Rate-Limiting leicht umgangen werden kann. Dazu reicht es offenbar aus, aus einem der kleingeschriebenen Buchstaben in der URL einen Großbuchstaben zu machen. Das CCC-Mitglied und Teil der AG-Kritis, Manuel Atug alias Honkhase, sammelt seit Tagen derartige Meldungen zu Luca in einem sehr ausführlichen Thread auf Twitter. Inzwischen hat Atug mehr als 250 einzelne Hinweise zusammengetragen.

Erst vor wenigen Tagen ist bekanntgeworden, dass es schwere Mängel bei der Registrierung von Schlüsselanhängern der Luca-App gegeben hat. Diese konnten komplett ohne Registrierung genutzt werden und auch die Freischaltung über eine Transaktionsnummer (Tan) soll mit einer beliebigen sechsstelligen Zahl möglich sein. Das Team hat dies eigenen Angaben zufolge direkt behoben.

Darüber hinaus warnen seit Wochen verschiedenen Datenschützer vor der Nutzung der App, zuletzt forderte der Hamburgische Datenschützer Johannes Caspar eine datenschutzrechtliche Bewertung. Das Gesamtsystem der Luca-App ist außerdem weiterhin nicht Open-Source und damit nicht unabhängig überprüfbar. Die Offenlegung des Codes für den Android-Client haben wir in einem Kommentar als schlechten Open-Source-Versuch bezeichnet.

Nachtrag vom 7. April 2021, 13:40 Uhr

Wir haben den Text um die Stellungnahme der Macher der Luca-App ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Coronapandemie: Luca-App ermöglicht Check-ins von beliebigen Orten aus
  1.  
  2. 1
  3. 2
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
Mangelnde Transparenz
Datenschützer Caspar kritisiert Luca-App
artikel-bild
Luca-App
Schlüsselanhänger funktionieren ohne Registrierung
artikel-bild
Kontaktnachverfolgung
Warum die Cluster-Erkennung der Corona-App wenig bringt
artikel-bild
Ab Mitte April
Corona-App kann auch bei Schnelltests warnen
artikel-bild
IT-Jobs
Tipps für Gehaltsverhandlungen in Zeiten der Pandemie
Meistgelesen
artikel-bild
Softwarepatent
Uraltpatent könnte Microsoft Millionen kosten
artikel-bild
Cyberbunker-Verfahren
Ein Bunker voller Honig
artikel-bild
Krypto
Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten
artikel-bild
Spielfilm
Matrix trifft Unreal Engine 5
artikel-bild
Arbeiten bei SAP
Nur die Gassi-App geht grad nicht
Kommentarübersicht
Re: (a)Soziales, nicht technisches Problem
User_x 09. Apr 2021

Dann nimm dir das wichtigste Argument eines Rechtsstaates und bau die...

Nach so viel Müll in der App - wieso wird darüber...
MikeU 08. Apr 2021

In die Tonne hauen das Teil und gut ist es. Denn diese Dilletanten von Machern kriegen...

Re: Warum ich gegen Luca bin
MFGSparka 08. Apr 2021

Zum Glück müssen wir unsere Geduld nur noch bis zum 16.04. unter Kontrolle halten und...

Re: Ist ja nicht so, das man das technisch nicht...
BlindSeer 08. Apr 2021

Weil man hier Probleme auf den bösen Datenschutz schieben kann, ohne etwas tun zu müssen...

Re: Und wo ist das Problem?
LarusNagel 08. Apr 2021

Wenn man für eine Location genügend falsche Check-Ins hat, dann ist die ganze...

Aktuell auf der Startseite von Golem.de
Softwarepatent
Uraltpatent könnte Microsoft Millionen kosten

Microsoft hat eine Klage um ein Software-Patent vor dem BGH verloren. Das Patent beschreibt Grundlagentechnik und könnte zahlreiche weitere Cloud-Anbieter betreffen.
Ein Bericht von Stefan Krempl

Softwarepatent: Uraltpatent könnte Microsoft Millionen kosten
Artikel
  1. Krypto: Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten
    Krypto
    Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten

    Ein Gericht hat entschieden, dass Craig Wright der Familie seines Geschäftspartners keine Bitcoins schuldet - kommt jetzt der Beweis, dass er Satoshi Nakamoto ist?

  2. Fusionsgespräche: Orange und Vodafone wollten zusammengehen
    Fusionsgespräche
    Orange und Vodafone wollten zusammengehen

    Die führenden Netzbetreiber in Europa wollen immer wieder eine Fusion. Auch aus den letzten Verhandlungen wurde jedoch bisher nichts.

  3. Spielfilm: Matrix trifft Unreal Engine 5
    Spielfilm
    Matrix trifft Unreal Engine 5

    Ist der echt? Neo taucht in einem interaktiven Programm auf Basis der Unreal Engine 5 auf. Der Preload ist bereits möglich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Weihnachtsgeschenkt (u. a. 3 Spiele kaufen, nur 2 bezahlen) • PS5 & Xbox Series X mit o2-Vertrag bestellbar • Apple Days bei Saturn (u. a. MacBook Air M1 949€) • Switch OLED 349,99€ • Saturn-Advent: HP Reverb G2 + Controller 499,99€ • Logitech MX Keys Mini 89,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /