Schlüsselanhänger auslesbar - Luca-App kommt nicht zur Ruhe
Obwohl die Kritik an der App die letzten Wochen nicht abnahm, setzen inzwischen 13 der 16 Bundesländer bei der Kontaktnachverfolgung auf die Luca-App. Die Entwickler geraten nun erneut ins Visier von Datenschützern. Der Chaos Computer Club forderte am gestrigen Dienstag sogar eine "Bundesnotbremse".
Je mehr Bundesländer sich in den vergangenen Wochen Lizenzen sicherten, umso häufiger wurde auch Kritik an der Luca-App laut. Zu Beginn des seit November anhaltenden Lockdowns wurde die App als Heilsbringer in Sachen Kontaktnachverfolgung gefeiert. Smudo der Band Fanta 4 gibt das prominente Aushängeschild der Firma und sorgte für eine hohe mediale Präsenz. In der Praxis soll die App den Zettelkrieg bei der Kontaktverfolgung beenden.
Leider sammelten sich in der jüngeren Vergangenheit jedoch auch Meldungen über Programmierfehler, unzureichende Datenschutzmaßnahmen und Verstöße gegen Wettbewerbsvorgaben. Da die Auftragserteilung der einzelnen Länder in den meisten Fällen ohne vorherige Ausschreibung erfolgte, fühlten sich viele Konkurrenten betrogen. Zwischenzeitlich gibt es nämlich eine Vielzahl von Anbietern, die dieselbe technische Lösung anbieten und mit Klagen in Bezug auf das nicht vorhandene Ausschreibungsverfahren drohen. Thüringen hat die vergaberechtliche Gefahr scheinbar erkannt und schreibt daher die Vergabe vor Auftragserteilung ordnungsgemäß aus.
Auslesen der Schlüsselanhänger
Eine Gruppe von IT- und Netzwerkexperten mit dem Namen Lucatrack untersuchten den Schlüsselanhänger auf Sicherheitslücken und weist in ihrem Bericht schwerwiegende Sicherheitslücken auf. So lässt sich mit einfachen Programmierkenntnissen das Bewegungsprofil des Nutzers auslesen. Um an die Daten zu gelangen reichte ein Foto des Anhängers.
Im Bericht dazu heißt es:
„Luca verwendet zur Sicherung von sensiblen Daten ein Verschlüsselungsverfahren, das ermöglichen soll, dass nur Gesundheitsämter die Daten zu den Check-ins einer Nutzer:in entschlüsseln können. Die jeweilige Historie ist ansonsten nur auf dem jeweiligen Endgerät der Nutzer:in einsehbar. Prinzipbedingt enthalten Schlüsselanhänger des Luca Systemsallerdings nur aufgedruckte, unveränderliche QR-Codes. Damit entsteht die Sicherheitslücke LucaTrack.“
Der aufgedruckte QR-Code wird an einer bestimmten Location mittels Scanner erfasst. Dieser Scanner ist eine einfache Webseite und kann über jeden gängigen Browser aufgerufen werden.
„Durch Setzen eines simplen Breakpoints (eines Haltepunkts, der Diagnoseinformationen ausgibt) im Browser lassen sich die Registrierungsinformationen eines beliebigen Schlüsselanhängers problemlos beim Scan auslesen.“
Die dadurch gewonnenen Informationen lassen sich im Nachgang über die Web App über „eine einfache Anpassung“ wieder einspielen. Der Zugang erfolgt ebenfalls über einen simplen Browser. Die Gruppe erklärt außerdem, wie es für unberechtigte Dritte anhand eines funktionalen Prototypen noch einfacher ist, an die Daten der vergangenen 30 Tage zu kommen. Auch hierfür wird lediglich der aufgedruckte QR-Code benötigt.
Der Bericht wurde dem Unternehmen und dem Berliner Datenschutzbeauftragten am gestrigen Dienstag zur Verfügung gestellt. Gleichzeitig fordert die Gruppe, die bereits verteilten 100.000 Anhänger aus dem Verkehr zu ziehen.
CCC fordert Notbremse
Die aufgedeckte Sicherheitslücke im Zusammenhang mit den Schlüsselanhängern reiht sich in die Schlagzeilen der letzten Wochen nahtlos ein. Unter anderem checkte TV-Satiriker Jan Böhmermann im Namen von Smudos Bandkollegen Michi Beck im Osnabrücker Zoo ein verbrachte eine aufregende Nacht dort. Die Hamburger Datenschutzbehörde forderte kürzlich eine datenschutzrechtliche Bewertung der App. Die neuerlichen Probleme mit dem Anhänger geben weiter Wasser auf die Mühlen. Eventuelle Klageverfahren gegen die Vergabepraktiken der einzelnen Länder birgen ein zusätzliches Risiko, auch aus Sicht des Steuerzahlers.
Aus diesen Gründen fordert die Hackervereinigung Chaos Computer Club eine sofortige Bundesnotbremse. Die anhaltenden Probleme im Zusammenhang mit der App sind dem CCC nach auf einen grundlegenden Mangel an Kompetenz und Sorgfalt zurückzuführen. Daher fordern sie "ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs".
Möchtest du keine News mehr verpassen? Folge uns auf Twitter, oder werde unser Fan auf Facebook.
Oder noch besser, lade hier unsere kostenlose App und sei damit immer auf dem neuesten Stand.
1 Kommentar
so ein Theater
Was kann die Corona App? Kaum noch jemand meldet sich positiv. Kein Gesundheitsamt hat was von der überteuerten App und wer hat die bezahlt? Wir alle, Millionen € für nichts!!! Die hätten besser an die Menschen ausgezahlt werden sollen, die Hilfe brauchen.