Luca-App: Nächste Lücke gefunden - CCC fordert "Bundesnotbremse"

Der Chaos Computer Club (CCC) hat jetzt eindringlich einen sofortigen Stopp der Luca-App gefordert. Auslöser hierfür ist eine weitere eklatante Sicherheitslücke in der Architektur des Kontaktverfolgungssystems, die im Kern die bisherigen Probleme fortsetzt. Die jüngste Schwachstelle betrifft den Luca-Schlüsselanhänger, von dem die Länder bereits um die hunderttausend Stück gekauft haben sollen. Dieser soll für Personen zur Verfügung gestellt werden, die kein Smartphone besitzen und die Luca-App entsprechend nicht verwenden können. Da die Kontaktverfolgung mit der Software aber teilweise sogar verpflichtend sein soll, wenn Bürger am öffentlichen Leben teilhaben wollen, sollten die Schlüsselanhänger auch Checkins ohne App ermöglichen.

Mit minimalen Programmierkenntnisse sei es möglich gewesen, ein Skript zu schreiben, das einem externen Angreifer das bisherige Bewegungsprofil und den aktuellen Checkin eines Nutzers lieferte. Benötigt wurde dafür lediglich ein Foto des QR-Codes, der auf dem Schlüsselanhänger aufgedruckt ist. Das berichtete die Gruppe "LucaTrack", die die Schwachstelle gefunden hat. Nach einer Meldung an den Hersteller soll das Problem inzwischen behoben worden sein.

Luca-Schlüsselanhänger: Bewegungsprofil stehlen ist einfach

Vielfältige Probleme

Angesichts der geringen Komplexität der Lücke kann man aber darauf warten, dass weitere Probleme bekannt werden. Und diese kommen zu den grundlegenden Schwierigkeiten, die die App mit sich bringt, dazu. Sie erstrecken sich von der technischen Umsetzung bis zur Beschaffung der Lizenzen durch die Bundesländer. Einige Punkte sind dabei sicherlich lösbar, andere würden im Grunde einen kompletten Neuanfang nötig machen.

Die Validierung der Telefonnummer per SMS funktioniert nicht richtig.
Das Backend kann Geräte eindeutig identifizieren, was ein Datenschutzproblem mit sich bringt.
Der Quellcode liegt nur teilweise offen und es kann nicht geprüft werden, ob die freigegebenen Sourcen auch der kompilierten und eingesetzten Software entsprechen.
Bei der Entwicklung wurden Urheberrechte anderer Programmierer verletzt.
Die Mindeststandards der Barrierefreiheit werden nicht erfüllt, womit ein Nutzungs-Zwang Menschen mit Behinderungen aus dem öffentlichen Leben ausschließt.
Die zentrale Speicherung der Daten widerspricht dem Grundkonsens, der die offizielle Corona-Warn-App erfolgreich machte.

Die Entscheidungen zur Anschaffung von Lizenzen erfolgten offenkundig ohne eine genaue Überprüfung der App. Seitens des CCC führt man dies auf die mehrmonatige Marketing-Kampagne des Rappers Smudo zurück, der selbst zu 22 Prozent am Hersteller beteiligt ist. Inzwischen sollen rund 20 Millionen Euro in Jahreslizenzen geflossen sein. Eine öffentliche Ausschreibung gab es trotz anderer Angebote nicht. "Der Luca-App mangelt es nicht an Konkurrenzprodukten, die mindestens genauso schlecht sind", erklärte Linus Neumann, Sprecher des CCC.

Er führte weiter aus: "Die Luca-App ist nicht der einzige Fall, bei dem COVID-Glücksritter weit über ein angemessenes Niveau hinaus Kapital aus der Pandemie schlagen." Es sei wahrscheinlich, dass das "digitale Heilsversprechen der Luca-App" nun genutzt werden soll, um das "fortwährende Versagen der Bundes- und Landesregierungen" zu kaschieren.

Siehe auch:

Coronavirus, Corona, Covid-19, Coronakrise, Corona-Virus, Covid-2019, Covid, Covid19, Covid-19-Tracker

Diese Nachricht empfehlen

Kommentieren66

Weitere Nachrichten zum Thema Strafantrag gegen IT-Expertin: CCC meldet der CDU keine Lücken mehrInnenministerium verbietet dem BSI eine Überprüfung der Luca-AppCDU gegen IT-Expertin: Strafanzeige bleibt trotz Rückzieher und "Sorry"Luca-App entwickelt sich immer deutlicher zum Millionen-GrabLuca-App: Hacker kritisieren die Macher der neuen Hype-App scharf