Luca-App: Nächste Lücke gefunden - CCC fordert "Bundesnotbremse"

Christian Kahle, 14.04.2021 08:38 Uhr 66 Kommentare
Der Chaos Computer Club (CCC) hat jetzt eindringlich einen sofortigen Stopp der Luca-App gefordert. Auslöser hierfür ist eine weitere eklatante Sicherheitslücke in der Architektur des Kontaktverfolgungssystems, die im Kern die bisherigen Probleme fortsetzt. Die jüngste Schwachstelle betrifft den Luca-Schlüsselanhänger, von dem die Länder bereits um die hunderttausend Stück gekauft haben sollen. Dieser soll für Personen zur Verfügung gestellt werden, die kein Smartphone besitzen und die Luca-App entsprechend nicht ver­wen­den können. Da die Kontaktverfolgung mit der Software aber teilweise sogar ver­pflich­tend sein soll, wenn Bürger am öffentlichen Leben teilhaben wollen, sollten die Schlüssel­an­hän­ger auch Check­ins ohne App ermöglichen.

Mit minimalen Programmierkenntnisse sei es möglich gewesen, ein Skript zu schreiben, das einem externen Angreifer das bisherige Bewegungsprofil und den aktuellen Checkin eines Nut­zers lieferte. Benötigt wurde dafür lediglich ein Foto des QR-Codes, der auf dem Schlüs­sel­an­hän­ger aufgedruckt ist. Das berichtete die Gruppe "LucaTrack", die die Schwach­stel­le ge­fun­den hat. Nach einer Meldung an den Hersteller soll das Problem in­zwi­schen be­ho­ben wor­den sein.

Luca-Schlüsselanhänger: Bewegungsprofil stehlen ist einfach
videoplayer

Vielfältige Probleme

Angesichts der geringen Komplexität der Lücke kann man aber darauf warten, dass weitere Pro­ble­me bekannt werden. Und diese kommen zu den grundlegenden Schwierigkeiten, die die App mit sich bringt, dazu. Sie erstrecken sich von der technischen Umsetzung bis zur Be­schaf­fung der Lizenzen durch die Bun­des­län­der. Einige Punkte sind dabei si­cher­lich lös­bar, an­de­re würden im Grunde einen kom­plet­ten Neu­an­fang nötig machen.


Die Entscheidungen zur Anschaffung von Lizenzen erfolgten offenkundig ohne eine genaue Überprüfung der App. Seitens des CCC führt man dies auf die mehrmonatige Marketing-Kampagne des Rappers Smudo zurück, der selbst zu 22 Prozent am Hersteller beteiligt ist. Inzwischen sollen rund 20 Millionen Euro in Jahreslizenzen geflossen sein. Eine öffentliche Ausschreibung gab es trotz anderer Angebote nicht. "Der Luca-App mangelt es nicht an Konkurrenzprodukten, die mindestens genauso schlecht sind", erklärte Linus Neumann, Sprecher des CCC.

Er führte weiter aus: "Die Luca-App ist nicht der einzige Fall, bei dem COVID-Glücksritter weit über ein angemessenes Niveau hinaus Kapital aus der Pandemie schlagen." Es sei wahrscheinlich, dass das "digitale Heilsversprechen der Luca-App" nun genutzt werden soll, um das "fortwährende Versagen der Bundes- und Landesregierungen" zu kaschieren.

Siehe auch:

66 Kommentare lesen & antworten
Folge WinFuture auf Google News
Verwandte Themen
Coronavirus
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies