• IT-Karriere:
  • Services:

Nach missbräuchlichen Check-ins: Luca-App soll mit Signaturen sicherer werden

Das Einchecken anderer Personen über die Luca-App soll erschwert werden. Zum Trollen des Systems hat das Peng-Kollektiv eine Webseite namens Luci-App gestartet.

Artikel veröffentlicht am ,
Die Luca-App ist schon vielfach im Einsatz.
Die Luca-App ist schon vielfach im Einsatz. (Bild: Matthias Kern/Getty Images)

Missbräuchliche Check-ins über die Luca-App sollen künftig erschwert werden. "Wenn eine Telefonnummer verifiziert wird, wird eine Signatur erzeugt und dem Client zurückgegeben", sagte Patrick Hennig, Chef der Luca-App-Firmen Nexenio und Culture4Life, am Dienstag im Gespräch mit Golem.de. Bei jedem Check-in müsse diese Signatur dann angeben werden. Damit will Nexenio verhindern, dass Check-ins mit gefakten Telefonnummern und Personendaten bei den Gesundheitsämtern ausgewertet werden.

Inhalt:
  1. Nach missbräuchlichen Check-ins: Luca-App soll mit Signaturen sicherer werden
  2. Luci-App als "netter Gag"

Mit einer eigens geschriebenen Webanwendung hat das Künstlerkollektiv Peng am Dienstag auf das Authentifizierungsproblem bei der Luca-App aufmerksam gemacht. Über die Webseite Luci-App.de lassen sich vorgegebene Personen in beliebige Veranstaltungen per QR-Code einchecken. Auswählen lassen sich "Alle Ministerpräsidenten", "Vier Popmusiker", "25 Hans Mustermänner" und "Nur mich (anonym)". Dann kann mit dem Smartphone der QR-Code einer Veranstaltung oder eines Ortes eingescannt werden.

Falsche Daten über API einschleusen

Zur Begründung heißt es: "Mit unserer Luci App kannst du beliebig oft bei Luca einchecken. Wer und wo du bist, kannst du völlig frei wählen. Das geht, weil die Luca App nicht sicher gebaut wurde. Und wenn die Luca Macher diese Lücke schließen wollen, müssen sie ihr Anonymitätsversprechen brechen. Denn Filtern kann ja nur, wer reingucken kann. Nix reingucken. Nix filter. Alles klar."

Möglich ist dieser Missbrauch, weil die Telefonnummer nur Client-seitig geprüft wird. Wer den Javascript-Code verändert, kann über die Luca-API über den Webclient auch falsche Telefonnummern angeben. Dem Peng-Kollektiv zufolge werden aber de facto kein Check-ins vorgenommen. "Wir haben gezeigt, dass man theoretisch die Luca App mit Datenmüll fluten kann. Dadurch wird deutlich, dass man Luca mit ein paar Zeilen Codeänderungen kaputtmachen könnte."

Gesundheitsämter prüfen Signatur

Stellenmarkt
  1. EPLAN Software & Service GmbH u. Co. KG, Langenfeld (Rheinland)
  2. Versicherungskammer Bayern Versicherungsanstalt des öffentlichen Rechts, München

Hennig will dieses Problem nun über die Signatur beheben. Das sei mit der Berliner Datenschutzbehörde so vereinbart worden. Bis Mitte Mai solle das neue Konzept über ein Update der App umgesetzt werden. "Bei den Gesundheitsämtern wird die Signatur geprüft", sagte Hennig. Wenn diese nicht vorhanden sei, werde der Datensatz nicht angezeigt. Es sei weiterhin nicht geplant, im Backend jeden Check-in-Vorgang einer Telefonnummer zuzuordnen.

Ebenfalls sei nicht vorgesehen, Check-ins in entfernten Orten per Geo-Koordinaten zu verhindern. Das stehe nicht im Verhältnis zum Zweck der Luca-App. Erste Einsätze des Systems in Nordfriesland hätten brauchbare Daten geliefert. "Da stand nicht einmal Mickey Mouse drin", sagte Hennig.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Luci-App als "netter Gag" 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (u. a. PS5 + HD Kamera für 549,99€)

MikeU 14:07 / Themenstart

Wahrscheinlich nutzen die dafür die Signaturen die unterhalb der Unternehmens-Emails...

timecop 05. Mai 2021 / Themenstart

Oh, wurde direkt gelöscht, dann lasse ich die Vermutung natürlich weg. War mir nicht...

Kommentieren


Folgen Sie uns
       


Polestar 2 Probe gefahren

Wir sind mit dem Polestar 2 eine längere Strecke gefahren und waren von dem Elektroauto von Volvo angetan.

Polestar 2 Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /