Nach missbräuchlichen Check-ins: Luca-App soll mit Signaturen sicherer werden

Das Einchecken anderer Personen über die Luca-App soll erschwert werden. Zum Trollen des Systems hat das Peng-Kollektiv eine Webseite namens Luci-App gestartet.

Artikel veröffentlicht am ,
Die Luca-App ist schon vielfach im Einsatz.
Die Luca-App ist schon vielfach im Einsatz. (Bild: Matthias Kern/Getty Images)

Missbräuchliche Check-ins über die Luca-App sollen künftig erschwert werden. "Wenn eine Telefonnummer verifiziert wird, wird eine Signatur erzeugt und dem Client zurückgegeben", sagte Patrick Hennig, Chef der Luca-App-Firmen Nexenio und Culture4Life, am Dienstag im Gespräch mit Golem.de. Bei jedem Check-in müsse diese Signatur dann angeben werden. Damit will Nexenio verhindern, dass Check-ins mit gefakten Telefonnummern und Personendaten bei den Gesundheitsämtern ausgewertet werden.

Inhalt:
  1. Nach missbräuchlichen Check-ins: Luca-App soll mit Signaturen sicherer werden
  2. Luci-App als "netter Gag"

Mit einer eigens geschriebenen Webanwendung hat das Künstlerkollektiv Peng am Dienstag auf das Authentifizierungsproblem bei der Luca-App aufmerksam gemacht. Über die Webseite Luci-App.de lassen sich vorgegebene Personen in beliebige Veranstaltungen per QR-Code einchecken. Auswählen lassen sich "Alle Ministerpräsidenten", "Vier Popmusiker", "25 Hans Mustermänner" und "Nur mich (anonym)". Dann kann mit dem Smartphone der QR-Code einer Veranstaltung oder eines Ortes eingescannt werden.

Falsche Daten über API einschleusen

Zur Begründung heißt es: "Mit unserer Luci App kannst du beliebig oft bei Luca einchecken. Wer und wo du bist, kannst du völlig frei wählen. Das geht, weil die Luca App nicht sicher gebaut wurde. Und wenn die Luca Macher diese Lücke schließen wollen, müssen sie ihr Anonymitätsversprechen brechen. Denn Filtern kann ja nur, wer reingucken kann. Nix reingucken. Nix filter. Alles klar."

Möglich ist dieser Missbrauch, weil die Telefonnummer nur Client-seitig geprüft wird. Wer den Javascript-Code verändert, kann über die Luca-API über den Webclient auch falsche Telefonnummern angeben. Dem Peng-Kollektiv zufolge werden aber de facto kein Check-ins vorgenommen. "Wir haben gezeigt, dass man theoretisch die Luca App mit Datenmüll fluten kann. Dadurch wird deutlich, dass man Luca mit ein paar Zeilen Codeänderungen kaputtmachen könnte."

Gesundheitsämter prüfen Signatur

Stellenmarkt
  1. Technischer Projektleiter (w/m/d)
    Vertec GmbH, Hamburg, München, Zürich (Schweiz), Wien (Österreich) (Home-Office)
  2. Application Manager (m/w/d)
    akf bank GmbH & Co KG, Hamburg
Detailsuche

Hennig will dieses Problem nun über die Signatur beheben. Das sei mit der Berliner Datenschutzbehörde so vereinbart worden. Bis Mitte Mai solle das neue Konzept über ein Update der App umgesetzt werden. "Bei den Gesundheitsämtern wird die Signatur geprüft", sagte Hennig. Wenn diese nicht vorhanden sei, werde der Datensatz nicht angezeigt. Es sei weiterhin nicht geplant, im Backend jeden Check-in-Vorgang einer Telefonnummer zuzuordnen.

Ebenfalls sei nicht vorgesehen, Check-ins in entfernten Orten per Geo-Koordinaten zu verhindern. Das stehe nicht im Verhältnis zum Zweck der Luca-App. Erste Einsätze des Systems in Nordfriesland hätten brauchbare Daten geliefert. "Da stand nicht einmal Mickey Mouse drin", sagte Hennig.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Luci-App als "netter Gag" 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Musterfeststellungsklage
Parship kann eine Kündigungswelle erwarten

Die Verbraucherzentrale ruft zur Kündigung bei Parship und zur Teilnahme an einer Musterfeststellungsklage auf. Doch laut Betreiber PE Digital ist das aussichtslos.

Musterfeststellungsklage: Parship kann eine Kündigungswelle erwarten
Artikel
  1. Open Source: Antworten Sie innerhalb von 24 Stunden
    Open Source
    "Antworten Sie innerhalb von 24 Stunden"

    Die E-Mail eines großen Konzerns an den Entwickler von Curl zeigt wohl eher aus Versehen, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist.

  2. Raumfahrt: US-Weltraumstreitkräfte starten zwei Spionagesatelliten
    Raumfahrt
    US-Weltraumstreitkräfte starten zwei Spionagesatelliten

    Was können denn andere Satelliten im geostationären Orbit? Fliegen wir hin und schauen nach.

  3. Elektro-Pick-up: Neuer Tesla-Cybertruck-Prototyp gefilmt
    Elektro-Pick-up
    Neuer Tesla-Cybertruck-Prototyp gefilmt

    In einem Video wird ein neuer Cybertruck-Prototyp von Tesla im Detail gezeigt. Es stammt vermutlich aus der Gigafactory in Texas.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 Ti 8GB 1.039€ • RX 6900XT 16 GB für 1.495€ • Acer Curved Gaming-Monitor 27" 259€ • RX 6800XT 16GB 1.229€ • Corsair 16GB DDR4-4000 111,21€ • 10% auf Gaming bei Ebay (u. a. Gigabyte 34" Curved UWQHD 144Hz 429,30€) • Razer Gaming-Stuhl 179,99€ [Werbung]
    •  /