Viele Informationen in der Luca-App-API

Im Falle des Osnabrücker Zoos haben zusätzlich zu Böhmermann in der vergangenen Nacht wohl mehr als 100 Personen dort eingecheckt. Die Zahl der Besucher eines Ortes lässt sich frei über die Luca-API abrufen und dann auswerten. Für den Zoo Osnabrück hat Nutzer Street Dogg dies über eine eigene kleine Web-App umgesetzt, die die Zahl der eingecheckten Besucher in einem kurzen Zeitstrahl darstellt.

Über die API lassen sich aus den QR-Codes auch noch andere Informationen extrahieren, wie etwa die genaue Adresse, woraus sich wiederum Probleme für die Privatsphäre der Nutzer ergeben könnten.

Die Bundestagsabgeordnete Anke Domscheit-Berg (Die Linke) kritisiert darüber hinaus - wie auch andere -, dass die QR-Codes zum Check-in für riesige Flächen gelten. Im Falle des Osnabrücker Zoos sind dies über 20 ha, in Rostock sogar 56 ha, ein Einkaufszentrum mit 22 ha Fläche wird ebenfalls genannt. Die so per Check-in zur Kontaktnachverfolgung gesammelten Daten dürften die Gesundheitsämter nicht sinnvoll nutzen können, außer sie fordern Tests und ordnen Quarantäne für täglich mehrere Hundert oder gar Tausende Besucher pro Veranstaltungsort an.

Weitere Probleme mit der Luca-App

Probleme gibt es offenbar auch beim automatisierten Check-out, der wohl immer noch nicht für Android umgesetzt ist. Bei den Schlüsselanhängern, mit denen das Luca-App-Team ebenfalls Probleme hatte, ist dies offenbar auch gar nicht vorgesehen. Domscheit-Berg weist darauf hin, dass der automatisierte Check-out auf einem Umkreis in einem festen Radius um einen bestimmten Punkt herum basiert. Bei größeren Veranstaltungsorten könnte dies zu fehlerhaften Check-outs führen.

Rund um die Luca-App sind in den vergangenen Tage immer wieder kleine und größere Probleme und Lücken aufgetaucht. So sind etwa die API-Endpunkte case-insensitive, so dass die darüber umgesetzte zeitweise Sperrung beziehungsweise ein Rate-Limiting leicht umgangen werden kann. Dazu reicht es offenbar aus, aus einem der kleingeschriebenen Buchstaben in der URL einen Großbuchstaben zu machen. Das CCC-Mitglied und Teil der AG-Kritis, Manuel Atug alias Honkhase, sammelt seit Tagen derartige Meldungen zu Luca in einem sehr ausführlichen Thread auf Twitter. Inzwischen hat Atug mehr als 250 einzelne Hinweise zusammengetragen.

Erst vor wenigen Tagen ist bekanntgeworden, dass es schwere Mängel bei der Registrierung von Schlüsselanhängern der Luca-App gegeben hat. Diese konnten komplett ohne Registrierung genutzt werden und auch die Freischaltung über eine Transaktionsnummer (Tan) soll mit einer beliebigen sechsstelligen Zahl möglich sein. Das Team hat dies eigenen Angaben zufolge direkt behoben.

Darüber hinaus warnen seit Wochen verschiedenen Datenschützer vor der Nutzung der App, zuletzt forderte der Hamburgische Datenschützer Johannes Caspar eine datenschutzrechtliche Bewertung. Das Gesamtsystem der Luca-App ist außerdem weiterhin nicht Open-Source und damit nicht unabhängig überprüfbar. Die Offenlegung des Codes für den Android-Client haben wir in einem Kommentar als schlechten Open-Source-Versuch bezeichnet.

Nachtrag vom 7. April 2021, 13:40 Uhr

Wir haben den Text um die Stellungnahme der Macher der Luca-App ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Coronapandemie: Luca-App ermöglicht Check-ins von beliebigen Orten aus
  1.  
  2. 1
  3. 2


User_x 09. Apr 2021

Dann nimm dir das wichtigste Argument eines Rechtsstaates und bau die...

MikeU 08. Apr 2021

In die Tonne hauen das Teil und gut ist es. Denn diese Dilletanten von Machern kriegen...

MFGSparka 08. Apr 2021

Zum Glück müssen wir unsere Geduld nur noch bis zum 16.04. unter Kontrolle halten und...

BlindSeer 08. Apr 2021

Weil man hier Probleme auf den bösen Datenschutz schieben kann, ohne etwas tun zu müssen...



Aktuell auf der Startseite von Golem.de
Jack Kilby
Der Ingenieur, der den Mikrochip erfand

Am 6. Februar 1959 wurde Jack Kilbys Patent für den Mikrochip eingereicht. Und das war nicht das einzige Interessante im Leben des Nobelpreisträgers.
Ein Porträt von Elke Wittich

Jack Kilby: Der Ingenieur, der den Mikrochip erfand
Artikel
  1. Künstliche Intelligenz: So funktioniert ChatGPT
    Künstliche Intelligenz
    So funktioniert ChatGPT

    Das mächtige Sprachmodell ChatGPT erzeugt Texte, die sich kaum von denen menschlicher Autoren unterscheiden lassen. Wir erklären die Technologie hinter dem Hype.
    Ein Deep Dive von Helmut Linde

  2. Poco X5 und X5 Pro: Neue Poco-Smartphones mit Qualcomm-SoCs ab 300 Euro
    Poco X5 und X5 Pro
    Neue Poco-Smartphones mit Qualcomm-SoCs ab 300 Euro

    Pocos neue Smartphones kommen mit 120-Hz-Displays, großen Akkus und Qualcomm-Chips. Das Pro-Modell hat eine 108-Megapixel-Kamera.

  3. Programmiersprache: C++ - da ist noch Musik drin!
    Programmiersprache
    C++ - da ist noch Musik drin!

    Viele Entwickler sind dankbar für Impulse neuer Programmiersprachen, die Verbesserungen und Vereinfachungen in Aussicht stellen. Hat das uralte C++ mit seinen einzigartigen Vorteilen dagegen eine Chance?
    Ein Deep Dive von Adam Jaskowiec

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM im Preisrutsch - neue Tiefstpreise! • Powercolor RX 7900 XTX 1.195€ • AMD Ryzen 7 5800X3D 329€ • Nur noch heute TV-Sale mit bis 77% Rabatt bei Otto • Lenovo Tab P11 Plus 249€ • MindStar: Intel Core i7 13700K 429€ • Logitech G915 Lightspeed 219,89€ • PCGH Cyber Week [Werbung]
    •  /