Luca-App: BSI hält Angriffs-Szenario per Code-Injection für plausibel

28.5.2021 15:29 Uhr

Bild: neXenio

Nachdem zuletzt 77 Sicherheitsforscher sowie 365 weitere Unterzeichner und auch der Sicherheitsexperte Marcus Mengs vor einer sensiblen Sicherheitslücke warnt, welche unter anderem Angriffe auf Gesundheitsämter ermöglicht, schätzt auch das BSI das Angriffs-Szenario über die Luca-App mittels Code-Injection als plausibel ein.

BSI schätzt Szenario als plausibel ein

Wie das Bundesamt für Sicherheit in der Informationstechnik, als Bundesoberbehörde im Geschäftsbereich des Bundesministeriums des Innern hauptverantwortlich für die bundesweite IT-Sicherheit, über den Kurznachrichtendienst Twitter mitgeteilt hat, schätzt die Behörde Angriffe mittels manipuliertem Code „über das Luca-System abhängig von der konkreten Einsatzumgebung als plausibel ein.“

Dies ist ein Thread zu den zahlreichen Anfragen rund um die #LucaApp.
▶️Wir schätzen das Angriffs-Szenario einer Code-Injection über das Luca-System abhängig von der konkreten Einsatzumgebung als plausibel ein. (1/5)
— BSI (@BSI_Bund) May 28, 2021

Demnach hätte der Betreiber der von neXenio entwickelten App, die culture4life GmbH aus Berlin, das „Problem bestätigt und Missbrauch nach eigenen Angaben unterbunden.“

Behörde kritisiert unzureichende Schutzmaßnahmen

Auch wenn dem BSI „derzeit keine Ausnutzung der Schwachstelle bekannt“ ist, mahnte die Behörde die nur unzureichenden Schutzmaßnahmen an.

Wir sind der Auffassung, dass die Betreiber einer App für die Integrität übermittelter Daten verantwortlich sind. Schutzmaßnahmen Dritter, etwa zusätzliches Unterbinden von Makro-Ausführung, stellen aus unserer Sicht keine ausreichende Sicherheitsmaßnahme dar.
Bundesamt für Sicherheit in der Informationstechnik

Diese Schwachstellen sollten „durch App-Betreiber unverzüglich und konsequent behoben werden“, so das BSI weiter. Dies habe die Behörde dem Betreiber bereits mitgeteilt.

Test des BSI hat nur begrenzte Prüftiefe

Die Luca-App sei zuvor zwar im Rahmen des App-Testing-Portals des BSI durch einen unabhängigen IT-Sicherheitsdienstleister überprüft worden, dieser Test habe aber nur eine „begrenzte Prüftiefe“. Zudem seien Angriffs-Szenarien mittels Code-Injection über das Luca-System „nicht Gegenstand der Prüfung“ gewesen.

Das BSI sieht aktuell keinen Auftrag an die Behörde eine „intensivere Prüfung der Luca App oder Apps anderer Anbieter vorzunehmen“. Auch in der Politik scheint die Kritik an der Luca-App noch nicht angekommen zu sein. Mehrere Bundesländer investierten bereits insgesamt rund 20 Millionen Euro für die Nutzung der App.

Neue potentielle Sicherheitslücke aufgetaucht

Währenddessen ist eine weitere potentielle Sicherheitslücke in der Luca-App aufgetaucht, die Fragen nach dem Datenschutz der App auf den Plan ruft. Nutzer werden in einer Meldung der App aufgefordert ihre privaten Schlüssel hochzuladen, wie Rolf Rottmann, seines Zeichens Gründer des IoT-Unternehmens Grandcentrix, das im November 2019 von Vodafone übernommen wurde, via Twitter mitgeteilt hat.

Jetzt sollen Venue Owner ihre privaten Schlüssel (!) hochladen. WTF. Wirklich. WTF. #LucaApp cc: @Linuzifer @chaosupdates @mame82 @evawolfangel pic.twitter.com/FLB4oJi3vN
— Ralf Rottmann (@ralf) May 28, 2021