Luca-App: Nächste Lücke gefunden - CCC fordert "Bundesnotbremse"

Der Chaos Computer Club (CCC) hat jetzt eindringlich einen sofortigen Stopp der Luca-App gefordert. Auslöser hierfür ist eine weitere eklatante Sicherheitslücke in der Architektur des Kontaktverfolgungssystems, die im Kern die bisherigen Probleme fortsetzt.
Coronavirus, Corona, Covid-19, Coronakrise, Corona-Virus, Covid, Covid-2019, Covid19, Covid-19-Tracker
Die jüngste Schwachstelle betrifft den Luca-Schlüsselanhänger, von dem die Länder bereits um die hunderttausend Stück gekauft haben sollen. Dieser soll für Personen zur Verfügung gestellt werden, die kein Smartphone besitzen und die Luca-App entsprechend nicht ver­wen­den können. Da die Kontaktverfolgung mit der Software aber teilweise sogar ver­pflich­tend sein soll, wenn Bürger am öffentlichen Leben teilhaben wollen, sollten die Schlüssel­an­hän­ger auch Check­ins ohne App ermöglichen.

Mit minimalen Programmierkenntnisse sei es möglich gewesen, ein Skript zu schreiben, das einem externen Angreifer das bisherige Bewegungsprofil und den aktuellen Checkin eines Nut­zers lieferte. Benötigt wurde dafür lediglich ein Foto des QR-Codes, der auf dem Schlüs­sel­an­hän­ger aufgedruckt ist. Das berichtete die Gruppe "LucaTrack", die die Schwach­stel­le ge­fun­den hat. Nach einer Meldung an den Hersteller soll das Problem in­zwi­schen be­ho­ben wor­den sein.

Luca-Schlüsselanhänger: Bewegungsprofil stehlen ist einfach

Vielfältige Probleme

Angesichts der geringen Komplexität der Lücke kann man aber darauf warten, dass weitere Pro­ble­me bekannt werden. Und diese kommen zu den grundlegenden Schwierigkeiten, die die App mit sich bringt, dazu. Sie erstrecken sich von der technischen Umsetzung bis zur Be­schaf­fung der Lizenzen durch die Bun­des­län­der. Einige Punkte sind dabei si­cher­lich lös­bar, an­de­re würden im Grunde einen kom­plet­ten Neu­an­fang nötig machen.

  • Die Validierung der Telefonnummer per SMS funktioniert nicht richtig.
  • Das Backend kann Geräte eindeutig identifizieren, was ein Datenschutzproblem mit sich bringt.
  • Der Quellcode liegt nur teilweise offen und es kann nicht geprüft werden, ob die freigegebenen Sourcen auch der kompilierten und eingesetzten Software entsprechen.
  • Bei der Entwicklung wurden Urheberrechte anderer Programmierer verletzt.
  • Die Mindeststandards der Barrierefreiheit werden nicht erfüllt, womit ein Nutzungs-Zwang Menschen mit Behinderungen aus dem öffentlichen Leben ausschließt.
  • Die zentrale Speicherung der Daten widerspricht dem Grundkonsens, der die offizielle Corona-Warn-App erfolgreich machte.

Die Entscheidungen zur Anschaffung von Lizenzen erfolgten offenkundig ohne eine genaue Überprüfung der App. Seitens des CCC führt man dies auf die mehrmonatige Marketing-Kampagne des Rappers Smudo zurück, der selbst zu 22 Prozent am Hersteller beteiligt ist. Inzwischen sollen rund 20 Millionen Euro in Jahreslizenzen geflossen sein. Eine öffentliche Ausschreibung gab es trotz anderer Angebote nicht. "Der Luca-App mangelt es nicht an Konkurrenzprodukten, die mindestens genauso schlecht sind", erklärte Linus Neumann, Sprecher des CCC.

Er führte weiter aus: "Die Luca-App ist nicht der einzige Fall, bei dem COVID-Glücksritter weit über ein angemessenes Niveau hinaus Kapital aus der Pandemie schlagen." Es sei wahrscheinlich, dass das "digitale Heilsversprechen der Luca-App" nun genutzt werden soll, um das "fortwährende Versagen der Bundes- und Landesregierungen" zu kaschieren.

Siehe auch:


Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 07:55 Uhr Chiq TVChiq TV
Original Amazon-Preis
189,99
Im Preisvergleich ab
?
Blitzangebot-Preis
174,24
Ersparnis zu Amazon 8% oder 15,75
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!