IT-Sicherheit
Erneut Sicherheitsmängel bei Luca-App – Angriffe auf Gesundheitsamt möglich
Die Luca-App sollte das gesellschaftliche Leben mit Corona erleichtern. Computer-Experten stellen jedoch immer wieder eklatante Sicherheitsmängel fest.
Barcode für Luca-App an einem Modegeschäft.
Foto: über dts Nachrichtenagentur
Die Kette der Sicherheitslücken bei der Luca-App reißt nicht ab. Nachdem im April bekannt wurde, dass Unbefugte mit den Luca-Schlüsselanhängern Bewegungsprofile der Nutzer erstellen konnten, hat ein Sicherheitsforscher nun erneut eine schwerwiegende Lücke entdeckt: Man kann als Luca-Nutzer die Daten anderer Nutzer stehlen.
Die Luca-App soll die Kontaktverfolgung für die Gesundheitsämter vereinfachen. Sie dient als Ersatz für Kontaktformulare in Cafés, Bars, Restaurants oder bei Veranstaltungen. Mittels des QR-Codes checken Nutzer der App an einem bestimmten Ort ein und anschließend wieder aus.
Bei der neu enttarnten Sicherheitslücke soll es möglich sein, mit der App das Gesundheitsamt mittels manipulierter Daten anzugreifen und die Daten weiterer Nutzer zu stehlen. Weiter soll es möglich sein, ganze Rechner beim Gesundheitsamt mit Ransomware zu verschlüsseln, weil Angreifer Codes ausführen können.
Die Methode nennt sich “Code Injection” und läuft über die Adresse in den Luca-Daten. Hierbei wird der Programmiercode an einer Stelle eingeschleust, wo eigentlich kein Code ausführbar wäre. Verhindern kann man sich solche Angriffe zum Beispiel, indem man Zeichen wie = , oder () nicht zulässt oder automatisch durch ungefährliche Zeichen ersetzt.
Schuld haben die anderen
In einer an netzpolitik.org zugesandten Stellungnahme bestätigen die Betreiber von Luca zwar die Existenz der Sicherheitslücke, schieben aber die Verantwortung für eine mögliche Bedrohung auf Microsoft Excel und unvorsichtige Mitarbeiter in Gesundheitsämtern.
Für den Sprecher des Chaos Computer Clubs (CCC), Linus Neumann, ist diese Reaktion “kaum zu fassen”. Die Häufung der eklatanten Fehler zeige, dass die Bundesländer hier auf ein in Windeseile zusammengebasteltes Konzept hereingefallen seien. Das grundsätzliche Problem von Luca sei die zentrale Architektur der App.
Auch das große Versprechen der App, die Arbeit der Gesundheitsämter zu erleichtern, sei nicht eingelöst, denn diese nutzten Luca kaum, schreibt netzpolitik.org. Ihrer Aussage nach haben die Bundesländer bislang Verträge in Höhe von fast 22 Millionen Euro für eine einjährige Lizenz zur Nutzung der Luca App abgeschlossen. (nmc) 
Kommentare
Noch keine Kommentare – schreiben Sie den ersten Kommentar zu diesem Artikel.
0
Kommentare
Noch keine Kommentare – schreiben Sie den ersten Kommentar zu diesem Artikel.