Nach missbräuchlichen Check-ins: Luca-App soll mit Signaturen sicherer werden

Das Einchecken anderer Personen über die Luca-App soll erschwert werden. Zum Trollen des Systems hat das Peng-Kollektiv eine Webseite namens Luci-App gestartet.

Artikel veröffentlicht am ,
Die Luca-App ist schon vielfach im Einsatz.
Die Luca-App ist schon vielfach im Einsatz. (Bild: Matthias Kern/Getty Images)

Missbräuchliche Check-ins über die Luca-App sollen künftig erschwert werden. "Wenn eine Telefonnummer verifiziert wird, wird eine Signatur erzeugt und dem Client zurückgegeben", sagte Patrick Hennig, Chef der Luca-App-Firmen Nexenio und Culture4Life, am Dienstag im Gespräch mit Golem.de. Bei jedem Check-in müsse diese Signatur dann angeben werden. Damit will Nexenio verhindern, dass Check-ins mit gefakten Telefonnummern und Personendaten bei den Gesundheitsämtern ausgewertet werden.

Inhalt:
  1. Nach missbräuchlichen Check-ins: Luca-App soll mit Signaturen sicherer werden
  2. Luci-App als "netter Gag"

Mit einer eigens geschriebenen Webanwendung hat das Künstlerkollektiv Peng am Dienstag auf das Authentifizierungsproblem bei der Luca-App aufmerksam gemacht. Über die Webseite Luci-App.de lassen sich vorgegebene Personen in beliebige Veranstaltungen per QR-Code einchecken. Auswählen lassen sich "Alle Ministerpräsidenten", "Vier Popmusiker", "25 Hans Mustermänner" und "Nur mich (anonym)". Dann kann mit dem Smartphone der QR-Code einer Veranstaltung oder eines Ortes eingescannt werden.

Falsche Daten über API einschleusen

Zur Begründung heißt es: "Mit unserer Luci App kannst du beliebig oft bei Luca einchecken. Wer und wo du bist, kannst du völlig frei wählen. Das geht, weil die Luca App nicht sicher gebaut wurde. Und wenn die Luca Macher diese Lücke schließen wollen, müssen sie ihr Anonymitätsversprechen brechen. Denn Filtern kann ja nur, wer reingucken kann. Nix reingucken. Nix filter. Alles klar."

Möglich ist dieser Missbrauch, weil die Telefonnummer nur Client-seitig geprüft wird. Wer den Javascript-Code verändert, kann über die Luca-API über den Webclient auch falsche Telefonnummern angeben. Dem Peng-Kollektiv zufolge werden aber de facto kein Check-ins vorgenommen. "Wir haben gezeigt, dass man theoretisch die Luca App mit Datenmüll fluten kann. Dadurch wird deutlich, dass man Luca mit ein paar Zeilen Codeänderungen kaputtmachen könnte."

Gesundheitsämter prüfen Signatur

Hennig will dieses Problem nun über die Signatur beheben. Das sei mit der Berliner Datenschutzbehörde so vereinbart worden. Bis Mitte Mai solle das neue Konzept über ein Update der App umgesetzt werden. "Bei den Gesundheitsämtern wird die Signatur geprüft", sagte Hennig. Wenn diese nicht vorhanden sei, werde der Datensatz nicht angezeigt. Es sei weiterhin nicht geplant, im Backend jeden Check-in-Vorgang einer Telefonnummer zuzuordnen.

Ebenfalls sei nicht vorgesehen, Check-ins in entfernten Orten per Geo-Koordinaten zu verhindern. Das stehe nicht im Verhältnis zum Zweck der Luca-App. Erste Einsätze des Systems in Nordfriesland hätten brauchbare Daten geliefert. "Da stand nicht einmal Mickey Mouse drin", sagte Hennig.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Luci-App als "netter Gag" 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Custom Keyboard
Youtuber baut riesige Tastatur für 13.500 Euro

Die Switches haben das 64-fache Volumen und das Gehäuse ist menschenhoch: Ein Youtuber baut eine absurd große Tastatur für absurd viel Geld.

Custom Keyboard: Youtuber baut riesige Tastatur für 13.500 Euro
Artikel
  1. Super Nintendo: Fan bringt verbessertes Zelda 3 für Windows, MacOS und Linux
    Super Nintendo
    Fan bringt verbessertes Zelda 3 für Windows, MacOS und Linux

    Aus 80.000 Zeilen C-Code besteht die per Reverse Engineering generierte Version von Zelda 3. Die bringt einige Verbesserungen und 16:9.

  2. Twitter: Der blaue Haken bringt Musk nur wenig Geld
    Twitter
    Der blaue Haken bringt Musk nur wenig Geld

    Weltweit hat Twitter angeblich schon einige Hunderttausend zahlende Nutzer. Das dürfte die Finanzprobleme aber nur wenig mildern.

  3. Linux: Alte Computer zu neuem Leben erwecken
    Linux
    Alte Computer zu neuem Leben erwecken

    Computer sind schon nach wenigen Jahren Nutzungsdauer veraltet. Doch mit den schlanken Linux-Distributionen AntiX-Linux, Q4OS oder Simply Linux erleben ältere PC-Systeme einen zweiten Frühling.
    Von Erik Bärwaldt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • DAMN-Deals: AMD CPUs zu Tiefstpreisen (u. a. R7 5800X3D 324€)• MindStar: Zotac RTX 4070 Ti 949€, XFX RX 6800 519€ • WSV-Finale bei MediaMarkt (u. a. Samsung 980 Pro 2 TB Heatsink 199,99€) • RAM im Preisrutsch • Powercolor RX 7900 XTX 1.195€ • PCGH Cyber Week nur noch kurze Zeit [Werbung]
    •  /