Nordhessische … Luca-Fails

Abstract

2020 hat das Robert-Koch-Institut (RKI) einiges an Geld für eine Mobilanwendung zur Unterstützung der digitalen Kontaktnachverfolgung ausgegeben: Die Corona-Warn-App (CWA) warnt physische Kontake einer positiv auf SARS-CoV2 getestete Person. 2021 geben die meisten deutschen Bundesländer wiederum sehr viel Geld für eine App aus, die ebenfalls bei der digitalen Kontaktnachverfolgung helfen soll – beworben von einem „sympathischen Rapper aus Stuttgart“. Während die CWA die gleiche Funktionalität en passant zügig nachrüstet, unterhält die luca app derweil die IT-Szene mit haarsträubenden Sicherheitsmängeln, so dass man wohl kaum zur Verwendung der luca app raten kann.

So viel Spaß für wenig Geld …

Bei Netzpolitik.org werden die Gesamtkosten auf fast 20 Millionen Euro geschätzt, die die Bundesländer für eine Einjahreslizenz der App zusammen ausgeben. Ob das Vergabefahren mit rechten Dingen zugegangen ist, wird derzeit geprüft, da es Beschwerden von Mitbewerbern gibt. Und auch ansonsten ist die Liste der Kritikpunkte, die Wikipedia anführt, für so eine relativ neue App beachtlich lang.

Zum Vergleich: Die Entwicklung der CWA ging vergleichsweise schnell vonstatten und gravierende Sicherheitslücken hat es dort bislang nicht gegeben. Dafür steht diese App allerdings auch seltener im medialen Fokus – vor allem, da es keine negative Aufmerksamkeit gibt.

Dieser Artikel fasst neben den bereits bei Wikipedia aufgeführten vielen Kritikpunkten einige der neueren Erkenntnisse zusammen.

Unsachgemäßer Umgang mit Nutzerdaten

Heute morgen hat Marcus Mengs ein ein Video veröffentlicht, das nicht nur zeigt, dass man nachträglich seinen registrierten Namen in der App ändern kann, sondern dass es auch möglich war Code einzuschleusen, der beim Datenexport aus dem Luca-Backend eventuell ausgeführt wird. Anscheinend wurden die Daten, die von Nutzern – und damit prinzipiell nicht vertrauenswürdigen Quellen – kommen, nicht hinreichend geprüft abgespeichert und vor allem beim Export der Kontextwechsel von der Datenbank ins Zieldateiformat missachtet. Damit hat eine reale Gefahr für die Gesundheitsämter und die App-Nutzer*innen bestanden: Das Video zeigt, dass es reichte einmal einen Warndialog abzunicken und schon konnte der Angreifer Kontaktdaten einer Person abziehen.

Auf ein weiteres Problem weist Die ZEIT in Berufung auf Mengs hin: Da sich Luca als vertrauenswürdige Quelle darstelle, seien Mitarbeiter*innen von Gesundheitsämtern möglicherweise geneigt Warnungen abzunicken. Und das Verstörende an dieser Lücke: Die ZEIT hat bereits Anfang Mai 2021 darüber berichtet.

Doch das ist noch nicht alles: Es hat wohl einen Fix gegeben, der das Einschleusen von Code verhindern soll, doch der Fix unterbindet das Registrieren von Namen mit nicht-lateinischen Buchstaben – diese „Sonderzeichen“ werden einfach durch ein Leerzeichen ersetzt, genau so wie Wortteile, die es auch in der Abfrage-Sprache SQL gibt. Der Nachteil dabei: Teile wie drop oder from können durchaus Bestandteile eines Namens sein. Durch die Ersetzung mit einem Leerzeichen ist es später nicht mehr möglich den richtigen Namen zu rekonstruieren. Und da diese Ersetzung auch Email-Adressen betrifft ist davon auszugehen, dass lediglich die Telefonnummern noch stimmen, mit denen ein Gesundheitsamt dann Kontakt aufnehmen könnte.

Die Schlüsselanhänger

Für Nutzer*innen ohne Smartphone oder die die Luca App nicht installieren möchten, werden Schlüsselanhänger zum Einchecken an einem Veranstaltungsort angeboten. Diese Schlüsselanhänger sollen nach Aussage des Twitterers Markus Feilner „noch nie funktioniert“ haben – soweit der Stand vom 12. Mai 2021. Einen Monat vorher gab es schon das Problem, dass beliebige Personen die Besuchshistorie von Nutzer*innen der Schlüsselanhänger auslesen konnten. Obwohl diese Lücke mittlerfeile nicht mehr besteht, scheint der Rat des Chaos Computer Clubs (CCC) aus zuvor genanntem Grund weiterhin zu gelten:

Zur Sicherheit der #LucaApp – Alle Schlüsselanhänger, die von der Sicherheitslücke betroffen sind, sind übrigens fachgerecht zu entsorgen

Abschließend

Checkt doch lieber mal hier ein:

Nordhessische.de als Location QR-Code
„Location QR-Code“ für Nordhessische.de