Luca-App: Nächste Lücke gefunden - CCC fordert "Bundesnotbremse"

Der Chaos Computer Club (CCC) hat jetzt eindringlich einen sofortigen Stopp der Luca-App gefordert. Auslöser hierfür ist eine weitere eklatante Sicherheitslücke in der Architektur des Kontaktverfolgungssystems, die im Kern die bisherigen Probleme fortsetzt. Die jüngste Schwachstelle betrifft den Luca-Schlüsselanhänger, von dem die Länder bereits um die hunderttausend Stück gekauft haben sollen. Dieser soll für Personen zur Verfügung gestellt werden, die kein Smartphone besitzen und die Luca-App entsprechend nicht ver­wen­den können. Da die Kontaktverfolgung mit der Software aber teilweise sogar ver­pflich­tend sein soll, wenn Bürger am öffentlichen Leben teilhaben wollen, sollten die Schlüssel­an­hän­ger auch Check­ins ohne App ermöglichen.

Mit minimalen Programmierkenntnisse sei es möglich gewesen, ein Skript zu schreiben, das einem externen Angreifer das bisherige Bewegungsprofil und den aktuellen Checkin eines Nut­zers lieferte. Benötigt wurde dafür lediglich ein Foto des QR-Codes, der auf dem Schlüs­sel­an­hän­ger aufgedruckt ist. Das berichtete die Gruppe "LucaTrack", die die Schwach­stel­le ge­fun­den hat. Nach einer Meldung an den Hersteller soll das Problem in­zwi­schen be­ho­ben wor­den sein.

Luca-Schlüsselanhänger: Bewegungsprofil stehlen ist einfach

Vielfältige Probleme

Angesichts der geringen Komplexität der Lücke kann man aber darauf warten, dass weitere Pro­ble­me bekannt werden. Und diese kommen zu den grundlegenden Schwierigkeiten, die die App mit sich bringt, dazu. Sie erstrecken sich von der technischen Umsetzung bis zur Be­schaf­fung der Lizenzen durch die Bun­des­län­der. Einige Punkte sind dabei si­cher­lich lös­bar, an­de­re würden im Grunde einen kom­plet­ten Neu­an­fang nötig machen.

  • Die Validierung der Telefonnummer per SMS funktioniert nicht richtig.
  • Das Backend kann Geräte eindeutig identifizieren, was ein Datenschutzproblem mit sich bringt.
  • Der Quellcode liegt nur teilweise offen und es kann nicht geprüft werden, ob die freigegebenen Sourcen auch der kompilierten und eingesetzten Software entsprechen.
  • Bei der Entwicklung wurden Urheberrechte anderer Programmierer verletzt.
  • Die Mindeststandards der Barrierefreiheit werden nicht erfüllt, womit ein Nutzungs-Zwang Menschen mit Behinderungen aus dem öffentlichen Leben ausschließt.
  • Die zentrale Speicherung der Daten widerspricht dem Grundkonsens, der die offizielle Corona-Warn-App erfolgreich machte.

Die Entscheidungen zur Anschaffung von Lizenzen erfolgten offenkundig ohne eine genaue Überprüfung der App. Seitens des CCC führt man dies auf die mehrmonatige Marketing-Kampagne des Rappers Smudo zurück, der selbst zu 22 Prozent am Hersteller beteiligt ist. Inzwischen sollen rund 20 Millionen Euro in Jahreslizenzen geflossen sein. Eine öffentliche Ausschreibung gab es trotz anderer Angebote nicht. "Der Luca-App mangelt es nicht an Konkurrenzprodukten, die mindestens genauso schlecht sind", erklärte Linus Neumann, Sprecher des CCC.

Er führte weiter aus: "Die Luca-App ist nicht der einzige Fall, bei dem COVID-Glücksritter weit über ein angemessenes Niveau hinaus Kapital aus der Pandemie schlagen." Es sei wahrscheinlich, dass das "digitale Heilsversprechen der Luca-App" nun genutzt werden soll, um das "fortwährende Versagen der Bundes- und Landesregierungen" zu kaschieren.

Siehe auch:


Coronavirus, Corona, Covid-19, Coronakrise, Corona-Virus, Covid-2019, Covid, Covid19, Covid-19-Tracker Coronavirus, Corona, Covid-19, Coronakrise, Corona-Virus, Covid-2019, Covid, Covid19, Covid-19-Tracker
Diese Nachricht empfehlen
Kommentieren69
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Affiliate-Links, um WinFuture zu unterstützen: Vielen Dank!