Viele Informationen in der Luca-App-API

Im Falle des Osnabrücker Zoos haben zusätzlich zu Böhmermann in der vergangenen Nacht wohl mehr als 100 Personen dort eingecheckt. Die Zahl der Besucher eines Ortes lässt sich frei über die Luca-API abrufen und dann auswerten. Für den Zoo Osnabrück hat Nutzer Street Dogg dies über eine eigene kleine Web-App umgesetzt, die die Zahl der eingecheckten Besucher in einem kurzen Zeitstrahl darstellt.

Über die API lassen sich aus den QR-Codes auch noch andere Informationen extrahieren, wie etwa die genaue Adresse, woraus sich wiederum Probleme für die Privatsphäre der Nutzer ergeben könnten.

Die Bundestagsabgeordnete Anke Domscheit-Berg (Die Linke) kritisiert darüber hinaus - wie auch andere -, dass die QR-Codes zum Check-in für riesige Flächen gelten. Im Falle des Osnabrücker Zoos sind dies über 20 ha, in Rostock sogar 56 ha, ein Einkaufszentrum mit 22 ha Fläche wird ebenfalls genannt. Die so per Check-in zur Kontaktnachverfolgung gesammelten Daten dürften die Gesundheitsämter nicht sinnvoll nutzen können, außer sie fordern Tests und ordnen Quarantäne für täglich mehrere Hundert oder gar Tausende Besucher pro Veranstaltungsort an.

Weitere Probleme mit der Luca-App

Probleme gibt es offenbar auch beim automatisierten Check-out, der wohl immer noch nicht für Android umgesetzt ist. Bei den Schlüsselanhängern, mit denen das Luca-App-Team ebenfalls Probleme hatte, ist dies offenbar auch gar nicht vorgesehen. Domscheit-Berg weist darauf hin, dass der automatisierte Check-out auf einem Umkreis in einem festen Radius um einen bestimmten Punkt herum basiert. Bei größeren Veranstaltungsorten könnte dies zu fehlerhaften Check-outs führen.

Rund um die Luca-App sind in den vergangenen Tage immer wieder kleine und größere Probleme und Lücken aufgetaucht. So sind etwa die API-Endpunkte case-insensitive, so dass die darüber umgesetzte zeitweise Sperrung beziehungsweise ein Rate-Limiting leicht umgangen werden kann. Dazu reicht es offenbar aus, aus einem der kleingeschriebenen Buchstaben in der URL einen Großbuchstaben zu machen. Das CCC-Mitglied und Teil der AG-Kritis, Manuel Atug alias Honkhase, sammelt seit Tagen derartige Meldungen zu Luca in einem sehr ausführlichen Thread auf Twitter. Inzwischen hat Atug mehr als 250 einzelne Hinweise zusammengetragen.

Erst vor wenigen Tagen ist bekanntgeworden, dass es schwere Mängel bei der Registrierung von Schlüsselanhängern der Luca-App gegeben hat. Diese konnten komplett ohne Registrierung genutzt werden und auch die Freischaltung über eine Transaktionsnummer (Tan) soll mit einer beliebigen sechsstelligen Zahl möglich sein. Das Team hat dies eigenen Angaben zufolge direkt behoben.

Darüber hinaus warnen seit Wochen verschiedenen Datenschützer vor der Nutzung der App, zuletzt forderte der Hamburgische Datenschützer Johannes Caspar eine datenschutzrechtliche Bewertung. Das Gesamtsystem der Luca-App ist außerdem weiterhin nicht Open-Source und damit nicht unabhängig überprüfbar. Die Offenlegung des Codes für den Android-Client haben wir in einem Kommentar als schlechten Open-Source-Versuch bezeichnet.

Nachtrag vom 7. April 2021, 13:40 Uhr

Wir haben den Text um die Stellungnahme der Macher der Luca-App ergänzt.