Akzeptieren

Die Cookies helfen mir bei der Bereitstellung der Inhalte und Dienste. Durch die Nutzung meines Blogs erklärst du dich damit einverstanden, dass ich Cookies setzen darf.

»: Thanks for coming!
       
       
Aktuelle Seite: News

Freitag 30. 04. 2021 - Corona-Tracking: Luca-Überwachung lässt sich mit Fake-Datenmüll aushebeln



Inzwischen ist die Luca-App zur Kontakt-Nachverfolgung in der Corona-Pandemie für manche Modellregionen als verpflichtend angezeigt – aber leider ist die Implementierung voll mit IT-Konzeptfehlern: Man kann sich leicht mit einer Fake-App einchecken, welche aber nicht zum Nachverfolgen zu gebrauchen ist. Sieht aus wie eine Luca-App, ist aber eine „gehackte“ Anonymus- oder Offline-Version, die im besten Fall nur Datenmüll übermittelt.

Folgende Anwendungsfälle soll die App unterstützen:

  • Registrierung beim Luca Server: Der Benutzer gibt seine Telefonnummer, Name und Adresse ein. Diese wird an den Luca-Server geschickt; abgesichert mit SMS-TAN.
  • Location: Selbst einchecken: Der Nutzer scannt einen QR-Code am Eingang. Im System der Location wird der Besucherzähler inkrementiert und in der App erscheint „eingecheckt“.
  • Location: Einchecken lassen: Die Location hat einen Scanner – geht mit der Webcam über eine Webseite – und scannt damit den QR-Code, den die Luca App anzeigt. Im System der Location wird der Zähler auch inkrementiert und in der App erscheint „eingecheckt“.
  • Privates Treffen erstellen: Das Treffen wird auf den Luca-Servern registriert. Es erscheint ein Barcode, den Besucher scannen können.
  • Einchecken im privaten Treffen: Man scannt den Barcode des Treffens. In der App erscheint eingecheckt; auf dem Handy des Treffens geht der Zähler um die Gästezahl hoch und der Name des Besuchers erscheint.


Die Analyse
Der Sicherheitsforscher Kurt Huwig hat sich aus zwei Gründen mit der Luca-App beschäftigt. Zum einen kann er sie nicht nutzen, da der Hersteller die Installation nur für Menschen mit Wohnsitz in Deutschland genehmigt hat – das grenznahen Ausland ist ausgeschlossen. Dies ist neben der Handy-Parken-App bereits die zweite App, die vom Saarland gekauft wird und nicht in der Großregion Saar-Lor-Lux nutzbar ist.

Dies ist insofern verwunderlich, als bei den Grenzschließungen von der Landesregierung ausdrücklich betont wurde, dass eine geschlossene Landesgrenze nicht der Lebenswirklichkeit im Saarland entspricht. Trotzdem werden Gelder für Apps ausgegeben, die ein Großteil der Bürger in der Großregion gar nicht verwenden kann.

Der zweite Grund war, dass im Internet kleine Skripte kursieren, mit denen man die Einlasskontrolle von sogenannten "Luca Locations" austricksen kann, ohne sich jemals registriert zu haben. Dies wollte der Sicherheitsexperte im Quelltext nachprüfen. Hier fand er schnell heraus, wo und wie die Kommunikation mit den Luca-Servern erfolgt.

Quelle: Heise
0 Kommentare




« [ 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 ] »

S-Design    D3n1s.Net    A1-VBcode    VB Archiv