Luca-App: Schwere Sicherheitslücke in den Schlüsselanhängern

https://blog.wdr.de/digitalistan/luca-app-schwere-sicherheitsluecke-in-den-schluesselanhaengern/

Luca-App: Schwere Sicherheitslücke in den Schlüsselanhängern

Kommentare zum Artikel: 14

„An die Daten kommt nur das Gesundheitsamt“, sagte Smudo im März im rbb. „Das heißt, wenn Sie die Daten wollten, müssten Sie händisch in das Gesundheitsamt einbrechen.“ Mit diesen Worten reagierte Smudo als Markenbotschafter der Luca-App auf die Kritik von Datenschützerinnen und Sicherheitsexperten.

Jetzt stellt sich heraus: Es ging auch ganz ohne Einbruch – zumindest für den Teil der Luca-Nutzer, der nicht die App selbst, sondern deren Schlüsselanhänger nutzt. Mehr als 100.000 dieser Schlüsselanhänger wurden bisher verteilt, 30.000 Stück zum Beispiel im Kreis Warendorf. Wer sie nutzen möchte, zeigt den darauf befindlichen QR-Code im Restaurant oder Frisörladen vor und wird so registriert – eine Lösung für Menschen, die kein modernes Smartphone besitzen.

Eine Gruppe von IT-Experten hat nun eine schwere Sicherheitslücke in diesem System entdeckt. Ihnen reichten Fotos von Schlüsselanhängern mit QR-Codes, um sämtliche Check-ins der jeweiligen Schlüsselanhänger der vergangenen 30 Tage auszulesen. Weil der QR-Code sich nicht ändert, konnten sie auch alle weiteren Check-ins verfolgen. Über die Sicherheitslücke war es also möglich, Besitzer der Schlüsselanhänger live auszuspionieren.

Audioplayer; Rechte: WDR

COSMO TECH: Je mehr digital, desto weniger Lockdown?

Die Personendaten konnte die Expertengruppe nicht auslesen. Allerdings sei davon auszugehen, dass ein Bezug zu einzelnen Nutzern leicht herstellbar sei: „Schlüsselanhänger müssen aktiv von einer Luca-Location eingescannt werden, so dass im Moment des Scans eine eindeutige Zuordnung ermöglicht wird.“

Die Experten haben ihrer Entdeckung den Namen #lucatrack gegeben und ihre Vorgehensweise dokumentiert.“ Die Macher der Luca-App selbst räumen die Sicherheitslücke ein: „Wir wurden im Rahmen einer Meldung darauf aufmerksam gemacht, dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten. Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert.“

Dünne Worte für eine gravierende Sicherheitslücke – wenige Tage, nachdem bekannt wurde, dass sich auch die Registrierung der Schlüsselanhänger austricksen ließ, und nur als ein weiterer Punkt in einer ganzen Reihe sicherheitskritischer Aspekte.

Jörg Schieb hat Fairness mit den Machern der Luca-App gefordert. Ich stimme ihm zu: Es sollte angemessen zugehen. Und angemessen ist, Bund, Länder und Kommunen, Restaurantbetreiber oder Konzertveranstalter und nicht zuletzt Privatnutzer vor dem Einsatz dieser App zu warnen. Sie ist ein Sicherheitsrisiko und schafft mehr Probleme, als sie löst.

Über den Autor

Dennis Horn, offline geboren 1981 in Köln, arbeitet als Digitalexperte in der ARD. Für Tagesschau und Morgenmagazin ordnet er die Entwicklungen in der digitalen Welt ein - und in Digitalistan bloggt er seit vielen Jahren darüber.

14 Kommentare

  1. Christian Fehr am

    60 Millionen für die Corona-Warnapp ausgegeben, und wofür ? Nix funktioniert, was von öffentlichen Einrichtungen für viel Geld in Auftrag gegeben wird ! Subventionen werden da vergeben, und sonst schläft man den Schlaf des gut bezahlten Beamtens – das Geld der Bürger kommt doch von alleine 😡

    • Dennis Horn am

      @Christian Fehr: Worauf basiert Ihre Annahme, dass „nix funktioniert“? Es werden zurzeit mehr als 3.000 Infektionsmeldungen pro Tag über die Corona-Warn-App übermittelt.

  2. ManfredO am

    Wenn wir es in D nicht mehr schaffen Datenschutz (CORONA Warn App) mit der Funktion der LUCA App auf eine DSGVO konforme Art zu Basteln, machen wir das Land besser zu und verkaufen es, z. B. an die Schweiz oder Trumpp!!!
    PS: ich werde weder diese bescheuerte App noch den bescheuerten Anhänger mit mir rum führen!!! Ich bin auch nicht bei FAKEBOOK und GOOGLE

  3. Lindemann am

    …wer braucht eigentlich diese beknackten Apps? Was machen die Leute, die kein Handy/Smartphone besitzen (ICH)?

    • Christian Fehr am

      So isset ! Ohne Apps bin ich auch glücklich – was ist eigentlich mit unserem Personalausweis ? Genügt die Karte nicht, wenn wir sie scannen/kopieren für den Fall der Fälle ? Oder ist das Ding immer noch steinzeitlich ?

      • Das Ding würde schon funktionieren. AusweisApp, passenden Kartenleser, und ein Programm zur Registrierung auf der einen Seite (2 von 3 existieren bereits), aktivierter ePerso und PIN auf der anderen Seite (existieren theoretisch genauso).

        Das scheitert aber eher am Faktor Mensch, denn viele haben den Ausweis nicht aktiviert, oder noch nie die PIN gesetzt (also immer noch die Transport-PIN aktiv), weil sie’s nicht nutzen. Oder weil dann die böse böse Regierung ja sofort wüsste, wo man überall war (und dazu nicht erst Berge von Papier durchwühlen müsste).

    • Dennis Horn am

      @Lindemann: Wenn Sie den Artikel noch einmal ganz genau lesen, werden Sie erkennen, dass es hier um eine Lösung für genau die Menschen geht, die kein Handy oder Smartphone besitzen. In Deutschland besitzen 86 % der Menschen ein Smartphone; ich denke, dass Corona-Apps deshalb alles andere als eine beknackte Idee sind.

      • Genau. Und das Ausland loben so viele genau deswegen: Weil sie schnell digitale Lösungen parat hatten – und die eine Wirkung haben. Das geht nun mal nicht ohne Smartphone. Und die Idee, einen QR Code unabhängig von einem Smartphone anzubieten, damit kein Smartphone nötig ist, finde ich gut.

  4. FairBert am

    Es ist wirklich unglaublich, warum die Corona-Warnapp nicht dafür verwendet wird !!! Das kann doch wirklich kein Problem sein.
    Aber leider, wie alles was mit Corona zu tun hat : Flickwerk.
    Ein digitaler Müllhaufen entsteht, statt konsequente Weiterentwicklung einer von der Bundesregierung bezahlten Corona-Warnapp.

  5. Tanja Gansen am

    Ich verstehe diese Aufregung wegen der Luca-App nicht so ganz…
    Bezahle ich mit Karte kann ein Weg zurückverfolgen werden, genauso mit mit einer Sammelkarte (Payback) oder über eine Trackingprogramm für Sportler…
    Was soll diese Aufregung? Immerhin wurden ja nur der Weg ausspioniert.
    Dagegen hilft einem die Corona-Warnapp eigentlich nicht weiter. Da konnte ich zwischendurch sehen, ob ich jemandem begegnet war…

    • Danke!

      Wie schön, einen unaufgeregten, nüchternen Kommentar zu lesen.
      Die künstliche Aufgeregtheit hilft nicht weiter. Zumal mir Ihre Argumentationen eher einleuchten als die des Artikels.

      • Dennis Horn am

        @Tanja Gansen/Michael: Es gibt für mich einen Unterschied zwischen der Nutzung von Kreditkarten, der Teilnahme an Bonussystemen und dem Einsatz von Fitnesstrackern auf der einen Seite, bei denen Nutzerinnen und Nutzer erstens eine Wahlfreiheit zwischen verschiedenen Anbietern haben und zweitens nicht zur Nutzung gezwungen werden – und einem Unternehmen, das im Auftrag des Staates öffentliche Aufgaben wahrnimmt und Daten erhebt, auf die Behörden Zugriff haben, auf der anderen Seite, zumal hier möglicherweise keine Wahlfreiheit existiert und die App zu einer Voraussetzung dafür werden könnte, Freiheitsrechte wieder wahrzunehmen. An eine solche App darf man aus meiner Sicht noch einmal ganz andere Ansprüche haben.

    • Matthias Kleber am

      Genauso sehe ich das auch. Wenn es wenigstens möglich wäre diesen ganzen überzogenen Datenschutz Kram für sich persönlich zu deaktivieren (das Häkchen kommt dann in das Feld „ich verzichte auf Datenschutz“), wäre ich zufrieden..

    • Ich zahle eigentlich immer mit sog. Geld, nicht mit Karte. Payback usw. habe ich noch nie genutzt und Sportler bin ich auch nicht. Und jetzt soll ich mir extra wegen „Luca“ ein Handy kaufen? Nein danke.

Antworten auf /span> Kommentieren abbrechen

Die mit * gekennzeichneten Felder müssen ausgefüllt werden.

Bitte lösen Sie die Rechenaufgabe : *
27 − 14 =


Top