Schlüsselanhänger auslesbar - Luca-App kommt nicht zur Ruhe
Obwohl die Kritik an der App die letzten Wochen nicht abnahm, setzen inzwischen 13 der 16 Bundesländer bei der Kontaktnachverfolgung auf die Luca-App. Die Entwickler geraten nun erneut ins Visier von Datenschützern. Der Chaos Computer Club forderte am gestrigen Dienstag sogar eine "Bundesnotbremse".
Je mehr Bundesländer sich in den vergangenen Wochen Lizenzen sicherten, umso häufiger wurde auch Kritik an der Luca-App laut. Zu Beginn des seit November anhaltenden Lockdowns wurde die App als Heilsbringer in Sachen Kontaktnachverfolgung gefeiert. Smudo der Band Fanta 4 gibt das prominente Aushängeschild der Firma und sorgte für eine hohe mediale Präsenz. In der Praxis soll die App den Zettelkrieg bei der Kontaktverfolgung beenden.
Leider sammelten sich in der jüngeren Vergangenheit jedoch auch Meldungen über Programmierfehler, unzureichende Datenschutzmaßnahmen und Verstöße gegen Wettbewerbsvorgaben. Da die Auftragserteilung der einzelnen Länder in den meisten Fällen ohne vorherige Ausschreibung erfolgte, fühlten sich viele Konkurrenten betrogen. Zwischenzeitlich gibt es nämlich eine Vielzahl von Anbietern, die dieselbe technische Lösung anbieten und mit Klagen in Bezug auf das nicht vorhandene Ausschreibungsverfahren drohen. Thüringen hat die vergaberechtliche Gefahr scheinbar erkannt und schreibt daher die Vergabe vor Auftragserteilung ordnungsgemäß aus.
Auslesen der Schlüsselanhänger
Eine Gruppe von IT- und Netzwerkexperten mit dem Namen Lucatrack untersuchten den Schlüsselanhänger auf Sicherheitslücken und weist in ihrem Bericht schwerwiegende Sicherheitslücken auf. So lässt sich mit einfachen Programmierkenntnissen das Bewegungsprofil des Nutzers auslesen. Um an die Daten zu gelangen reichte ein Foto des Anhängers.
Im Bericht dazu heißt es: „Luca verwendet zur Sicherung von sensiblen Daten ein Verschlüsselungsverfahren, das ermöglichen soll, dass nur Gesundheitsämter die Daten zu den Check-ins einer Nutzer:in entschlüsseln können. Die jeweilige Historie ist ansonsten nur auf dem jeweiligen Endgerät der Nutzer:in einsehbar. Prinzipbedingt enthalten Schlüsselanhänger des Luca Systemsallerdings nur aufgedruckte, unveränderliche QR-Codes. Damit entsteht die Sicherheitslücke LucaTrack.“
Der aufgedruckte QR-Code wird an einer bestimmten Location mittels Scanner erfasst. Dieser Scanner ist eine einfache Webseite und kann über jeden gängigen Browser aufgerufen werden.
„Durch Setzen eines simplen Breakpoints (eines Haltepunkts, der Diagnoseinformationen ausgibt) im Browser lassen sich die Registrierungsinformationen eines beliebigen Schlüsselanhängers problemlos beim Scan auslesen.“
Die dadurch gewonnenen Informationen lassen sich im Nachgang über die Web App über „eine einfache Anpassung“ wieder einspielen. Der Zugang erfolgt ebenfalls über einen simplen Browser. Die Gruppe erklärt außerdem, wie es für unberechtigte Dritte anhand eines funktionalen Prototypen noch einfacher ist, an die Daten der vergangenen 30 Tage zu kommen. Auch hierfür wird lediglich der aufgedruckte QR-Code benötigt.
Der Bericht wurde dem Unternehmen und dem Berliner Datenschutzbeauftragten am gestrigen Dienstag zur Verfügung gestellt. Gleichzeitig fordert die Gruppe, die bereits verteilten 100.000 Anhänger aus dem Verkehr zu ziehen.
CCC fordert Notbremse
Die aufgedeckte Sicherheitslücke im Zusammenhang mit den Schlüsselanhängern reiht sich in die Schlagzeilen der letzten Wochen nahtlos ein. Unter anderem checkte TV-Satiriker Jan Böhmermann im Namen von Smudos Bandkollegen Michi Beck im Osnabrücker Zoo ein verbrachte eine aufregende Nacht dort. Die Hamburger Datenschutzbehörde forderte kürzlich eine datenschutzrechtliche Bewertung der App. Die neuerlichen Probleme mit dem Anhänger geben weiter Wasser auf die Mühlen. Eventuelle Klageverfahren gegen die Vergabepraktiken der einzelnen Länder birgen ein zusätzliches Risiko, auch aus Sicht des Steuerzahlers.
Aus diesen Gründen fordert die Hackervereinigung Chaos Computer Club eine sofortige Bundesnotbremse. Die anhaltenden Probleme im Zusammenhang mit der App sind dem CCC nach auf einen grundlegenden Mangel an Kompetenz und Sorgfalt zurückzuführen. Daher fordern sie "ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs".
Das könnte dich auch interessieren
Weitere Geschichten aus Apps.
Apple plant 15 neue Produkte für Ende 2026
Apple kündigt eine massive Produktflut für das zweite Halbjahr 2026 an – von faltbarem iPhone über MacBook Ultra bis zum neuen Smart-Home-Hub. WWDC 2026 markiert den Start einer neuen Ära.
iOS 26.5 öffnet iPhone-Funktionen für Drittanbieter-Zubehör in der EU
Mit iOS 26.5 erweitert Apple in der Europäischen Union die Schnittstellen für Zubehör von Drittanbietern. Smartwatches und Kopfhörer können künftig einfacher koppeln und Benachrichtigungen sowie Live-Aktivitäten empfangen.
AppTicker News: Überarbeitete App mit neuem Layout und Share-Extension
Unsere AppTicker News-App wurde komplett überarbeitet: Neues Interface, eine verbesserte Share-Extension für direkten Zugriff aus dem App Store und erweiterte Preisalarm-Features stehen im Mittelpunkt.
Apple räumt im App Store auf: Milliardenbetrug verhindert
Apple hat erstmals detaillierte Zahlen zu seinen App Store-Schutzmaßnahmen für 2025 veröffentlicht. Der Konzern verhinderte betrügerische Transaktionen im Wert von über 2,2 Milliarden US-Dollar und blockierte 1,1 Milliarden gefälschte Konten.
Fortnite kehrt in den App Store zurück – Epic nutzt Supreme-Court-Aussage
Epic Games hat Fortnite in fast allen Ländern wieder im App Store veröffentlicht. Der strategische Move nutzt eine aktuelle Aussage Apples vor dem US-Obersten Gerichtshof im laufenden Antitrust-Kampf.
Apple lädt zur WWDC 2026 ein – Keynote am 8. Juni
Apple verschickt offizielle Einladungen zur WWDC 2026: Die Entwicklerkonferenz findet vom 8. bis 12. Juni statt. Im Fokus stehen iOS 27, neue Betriebssystem-Updates und eine überarbeitete Siri mit Gemini-KI.
Kommentare
Sei der Erste, der hier kommentiert.
Du musst angemeldet sein, um zu kommentieren.