Berlin. Erneut sind bei der Kontaktverfolgungs-App "Luca" Sicherheitslücken bekannt geworden. Der IT-Sicherheitsexperte Marcus Mengs konnte in einem am Mittwoch veröffentlichten Video detailliert aufzeigen, wie Hacker mittels der App auf relativ einfache Weise Cyberattacken auf Gesundheitsämter starten können. "Das System hat so gravierende Lücken, dass sie einfach gezeigt werden müssen", leitet Mengs seine Demonstration ein.
Er zeigt darin, wie ein Angreifer über das Erstellen eines eigenen "Luca"-Profils Schadcode in das System von Gesundheitsämtern schmuggeln kann. Dafür muss der Angreifer lediglich in seinem hinterlegten Namen oder Adresse Sonderzeichen wie ein "=" verbauen. In vielen Apps ist die Verwendung solcher Sonderzeichen für den Profilnamen daher nicht erlaubt. Denn Programme wie Excel erkennen den Namen oder die Adresse sonst als Formel und führen diese aus.
Sobald ein Mitarbeiter im Gesundheitsamt detaillierte Informationen über das Profil des Angreifers abrufen will, wird dessen Datensatz aus der "Luca"-App tatsächlich in eine Excel-Tabelle exportiert. Hat der Angreifer in seinem Datensatz Schadcode versteckt, wird der Mitarbeiter des Gesundheitsamts nun zwar gewarnt. In der Warnmeldung ist jedoch erst einmal nur von einem "potentiellen Sicherheitsrisiko" die Rede. Zudem warnt nicht "Luca" selbst, sondern Excel aufgrund der Sicherheitsüberprüfung von Microsoft.
Trotz Hinweis Anfang April: "Luca"-Chef verneinte Sicherheitslücke
Klickt nun der Mitarbeiter des Gesundheitsamt, womöglich in Eile, die Warnmeldung weg, ist es auch schon zu spät. Einmal in Excel importiert, können über den Schadcode nun Daten gestohlen, Rechner gesperrt oder ganze Gesundheitsämter lahm gelegt werden.
Besonders pikant ist die Sicherheitslücke, weil Mengs zusammen mit dem IT-Sicherheitsexperten Manuel Atug bereits Anfang Mai in der "Zeit" auf sie hinwies. "Luca"-Chef Patrick Henning hat gegenüber der Zeitung jedoch dementiert. "Eine Code Injection über den Namen ist bei Luca im Gesundheitsamt nicht möglich", sagte Henning. Zumindest bis zum Erscheinen des Videos von Mengs war sie das aber wohl doch.
- Wichtige Hintergründe: Erste Symptome – Wann muss ich zum Arzt? Alles Wichtige zu Corona
- Bin ich gefährdet? Wer trotz Corona-Impfung ein hohes Risiko für einen schweren Verlauf hat
- Anzeichen für Infektion: Corona trotz Impfung – Auf diese Symptome sollten Sie achten
"Luca": Vorwürfe über mangelnde Sicherheit häufen sich
Der Hinweis des It-Sicherheitsexperten Mengs ist nicht der erste Vorwurf gegenüber "Luca". Nachdem der Satiriker Jan Böhmermann Anfang April die Schwachstellen der App zeigte, hatte auch eine Kunstaktion die Diskussionen um die Sicherheit der "Luca"-App neu entfachet.
Dafür hat das Kunstkollektiv Peng die "Luca"-App, an der auch der Rapper Smudo beteiligt ist, gehackt. Auf einer eigenen Website stellt das Kollektiv die App "Luci" vor, mit der man sich Peng zufolge beliebig oft und anonymisiert an Orten einchecken kann, die die "Luca"-App zur Kontaktverfolgung nutzen.
"Luca"-App: Jeder kann sich überall anonym einloggen
Dazu öffnen Interessierte auf der "Luci"-Website einen QR-Code, mit dem sie sich an einem bei "Luca" registrierten Ort ihrer Wahl einchecken können. "Das geht, weil die 'Luca'-App nicht sicher gebaut wurde", schreibt Peng dazu auf der Aktionswebsite.
Das Kollektiv wirft der "Luca"-App vor, "die Gesundheitsämter mit Datenschrott" zu "fluten", wie es auf der Website heißt. Außerdem prangert das Peng Kollektiv den Datenschutz der Kontaktverfolgungsapp an. "Luca" könne nicht kontrollieren, wer sich zu welcher Uhrzeit an welchem Ort anmelde.
- Wie ist der aktuelle Stand bei den Corona-Impfungen? So hoch ist die Impfquote in Deutschland und den Bundesländern
- Kampf gegen die Pandemie: Alle wichtigen Fragen und Antworten zur Corona-Impfung
- Genesen, geimpft, geboostert: Wann läuft welcher Status ab?
Peng Kollektiv empfiehlt Corona-Warn-App des Bundes
Peng wolle die "Luca"-App allerdings nicht selbst mit massenhaften Check-Ins überfluten. "Wir haben testweise alle Ministerpräsident*innen in ganz viele Restaurants angemeldet, aber den Betreiber*innen von 'Luca' werden wir gerne unsere Check-ins zur Vefügung stellen wenn sie danach fragen, damit sie diese wieder rausfiltern können", schreibt Peng zu der Aktion. Dafür müssten sich die "Luca"-Betreiber allerdings beim Kollektiv melden.
Anstelle von "Luca" empfiehlt das Peng Kollektiv die Corona-Warn-App des Bundes, die von SAP und der Telekom entwickelt wurde. Zwar seien das auch "scheiss Unternehmen, die teils ganz offen mit Geheimdiensten zusammenarbeiten", schreibt Peng auf der "Luci"-Website. "Aber die App an sich ist ganz okay".
(mit jas)
- Corona-Warn-App: Warum man sie noch nicht löschen sollte
- Corona: Neue Variante breitet sich aus – das ist "Acrux"
- Corona-Variante: XXB-Omikron macht China zu schaffen
- Querdenker: Vorwurf der Volksverhetzung: Sucharit Bhakdi freigesprochen
- Nach Corona: Virologe Drosten warnt vor weltweiter Pandemie mit Mers-Virus
- Urlaub 2023: Corona-Impfpflicht für Flugreisende in den USA gekippt
- Nicht Covid-19: WHO warnt vor Affenpocken – Virus könnte mutieren
- Corona weltweit: Interaktive Karte zeigt wichtigste Daten auf einen Blick