News Luca-App: BSI hält Angriffs-Szenario per Code-Injection für plausibel

[Palomino]

Das kann die CWA konstruktionsbedingt nicht und das ist auch gut so. Ist ja auch überhaupt nicht erforderlich um am Ende das gleiche zu Leisten.

Obwohl es sicherlich gut wäre würde die CWA etwas ,mehr können. Beispielsweise den Ort angeben an dem der Kontakt zweier Infizierter stattgefunden hat. Damit hätte man zumindest bessere Anhaltspunkte wo (außer dem häuslichen Bereich) sich die Leute überwiegend anstecken.

Wenn die Politiker aber nicht selbst auf dem Trichter kommen ähnliches in die CWA zu integrieren und unser Steuergeld zu schützen dann bedankt euch mal wieder bei denen.

Eher bei den ganzen Aluhutträgern. Man hat doch bei der CWA extra allen Sicherheitsbedenken entsprochen um eine größtmögliche Akzeptanz der App zu erreichen. Dennoch war gefühlt von der Mehrheit der Leute zu hören "Den Scheiß lade ich mir nicht auf mein Handy" weil ja der Staat dahintersteckt und der ja sowieso nur böses vorhat.

 

[1xTobi]

Stimmt es, dass man die Luca App ganz einfach austricksen kann wie das hier bei "Luci" behauptet wird?

https://luci-app.de/

Wenn ja wäre das mMn. ein Update in den News wert.
@SV3N

 

[brubbelmichi]

https://logbuch-netzpolitik.de/lnp396-hochsicherheit-kommt-vor-dem-fall

Podcast zum Thema. Kann ich nur empfehlen.

 

[SIR_Thomas_TMC]

Stimmt es, dass man die Luca App ganz einfach austricksen kann wie das hier bei "Luci" behauptet wird?

Ich denke in etwa so leicht wie ich Donald Duck in Entenhausen auf den Zettel schreiben kann. Oder meinen positiven Test nicht in die Corona-Warn-App füttern muss.
Bei der Kontaktnachverfolgung geht es nicht um fälschungssicher, sondern um Verantwortungsbewusstsein. Das vergessen viele. Ich kann mich auch heimlich mit 50 Leuten treffen. Und dann meine Oma besuchen fahren. Oder halt nicht impfen lassen, weil mir das Risiko zu hoch erscheint. Oder ohne Fahrradhelm fahren. Oder...

 

[###Zaunpfahl###]

Obwohl es sicherlich gut wäre würde die CWA etwas ,mehr können. Beispielsweise den Ort angeben an dem der Kontakt zweier Infizierter stattgefunden hat. Damit hätte man zumindest bessere Anhaltspunkte wo (außer dem häuslichen Bereich) sich die Leute überwiegend anstecken.

Das sehe ich genauso, das war dann selbst für meinen Geschmack zu "datenschutzmäßig". Da hätte man schon noch einige Dinge mit Opt-In einbauen können. Die eigenen GPS Daten kann man ja auch nur lokal speichern.

Man hat dann auch noch ziemlich dämliche Fehler gemacht.
1. sehr schnell rausgebracht - Anfangs gabs ja noch so einige Fehler
2. Die Schnittstelle von Google genutzt was ja dann später von einer Person in seiner Freizeit nachgerüstet wurde...

Besonders der 2. Grund hat mich davon abgehalten die App früher zu installieren. Wobei ich mir nicht mehr sicher bin ob das überhaupt ging, da ich Android ohne google habe.

Aber die Punkte haben der App jetzt nicht unbedingt geholfen. Hätte man die App etwas länger sorgfältiger entwickeln und prüfen lassen hätte man vermutlich ein besseres Produkt gehabt und die Akzeptanz wäre größer gewesen.

Das Feature das man wenigstens sehen kann wann und wo es ein pot. Ereignis gab ist von Anfang an eigentlich essentiell das wollen doch die meisten haben und vom Datenschutz her seh ich da jetzt auch kein großes Problem besonders im Vergleich zur Luca App.
Wenn das optional lokal gespeichert wird hat man auch nur selbst Zugriff darauf.

 

[snaxilian]

Beispielsweise den Ort angeben an dem der Kontakt zweier Infizierter stattgefunden hat. Damit hätte man zumindest bessere Anhaltspunkte wo

Nicht wirklich denn die wenigsten erinnern sich an alle Orte, an denen Sie waren. Gibt dazu Statistiken und Auswertungen vom RKI, dass die Leute einfach nicht wissen woher.
Für Locations bietet die CWA bereits eine Option für den CheckIn. Dieser wird aber lokal am Gerät gespeichert und nach 2 Wochen verworfen. Melde ich einen positiven Test bei mir über die CWA, wird auch die Event-ID verbreitet. Somit Cluster-Erkennung möglich.
Du kannst beispielsweise den QR Code von Luca auch mit der CWA scannen und dort "einchecken", es taucht nur nirgends im Luca Backend auf.

Dennoch war gefühlt von der Mehrheit der Leute zu hören

Leider war auch von einer lauten Minderheit der Politiker selten etwas positives zur CWA zu hören. Da hieß es immer noch laut gebrüllt der pöse Datenschutz sei Schuld. Bis heute konnte niemand dieser Marktschreier im Anzug konkret darlegen woran genau der Datenschutz Schuld war....
Trotzdem finde ich ~25 Mio Installationen schon einen guten Wert. Aber wie gesagt... Apps verhindern keine Ansteckungen. Gefühlt senken Sie die Vorsicht der Leute weil man wird ja gewarnt. Gut, muss am Ende jeder für sich selbst entscheiden ob einem schwerer Verlauf oder vor allem Long Covid das Risiko für ein Convenience Food TK Schnitzel wert war bzw. ist...

@1xTobi Korrekt. Gibt noch andere Methoden und Nachbauten die am Endgerät oberflächlich betrachtet sehr nah an der App dran sind und wo Fakedaten beim CheckIn übertragen werden. Für den Locationbetreiber sieht alles gut aus aber ob ich jetzt Max Mustermann eingecheckt habe oder Smudo himself oder dich ist nicht ersichtlich.

so leicht wie ich Donald Duck in Entenhausen auf den Zettel schreiben kann

Jain. Hier hat der Gastgeber/Betreiber wenigstens die Möglichkeit der Plausibilitätsprüfung. Bei Luca eben nicht.

meinen positiven Test nicht in die Corona-Warn-App füttern muss

Genau aus diesem Grund wurde vom CCC und anderen bei der CWA auf strikte Anonymität und Datenschutz gepocht. Natürlich geht es um Vertrauen und Verantwortungsbewusstsein. Andererseits hast du keinerlei Nachteile zu befürchten durch die Eintragung. Du kannst andere warnen, die Kontakt mit dir hatten ohne sagen zu müssen, dass du diese Personen eventuell angesteckt hast. Es bietet Vorteile für die Gesellschaft aber keinen Nachteil (für den Einzelnen).
Der einzige mir einfallende Grund, ein positives Ergebnis nicht in die CWA einzutragen, ist mMn einfach pure Boshaftigkeit.

@###Zaunpfahl### Kann man so und so sehen^^. Bringt man mit klarer Ansage ein grundlegend lauffähiges aber fehlerbehaftetes "Produkt" raus, kann man mehr Feedback bekommen. Ja, es nutzt unter Android die Google API. Nachbau kostet Zeit und Aufwand vs. fertige library/Modul einbinden. Gibt es eigentlich irgendwo belastbare Statistiken, wie viel % der (aktiv genutzten) Androidgeräte mit einer Custom Rom laufen und wie viele von diesen dann auch ohne die Google Services genutzt werden?
Ich finde es gut und sinnvoll, dass es die Google-freie Variante gibt aber so konnte der vermutlich deutlich überwiegende Teil der Anwender schon einmal "los legen".
Wenn man mit Release warten würde, bis eine Software keinerlei Fehler mehr aufweist, wären viele Anwendungen noch nicht auf dem Markt. Ist irgendwo eine Gradwanderung wann man eine Software veröffentlicht und wann man sagt, dass diese auch stabil/fehlerfrei bzw. weitgehend fehlerfrei ist.

Ich stimme dir auch vollkommen zu: Die CheckIn Funktionalität in der CWA hätte eher kommen können und müssen. Hätte der Auftraggeber, sprich RKI im Auftrag der Bundesregierung, dies eher beauftragt. Vermutlich waren die meisten zu dem Zeitpunkt damit beschäftigt windige Maskendeals zu "vermitteln" oder mussten gerade die kostenlosen VIP Tickets für das nächste Fanta4 Konzert abholen oder sich von Wirtschaftslobbyisten erklären lassen warum Homeoffice bei $Bürojob ja gar-nie-nicht möglich sei anstatt sich mit den evidenzbasierten Wissenschaftlern, Techis und Nerds zu beschäftigen...

Die Zuordnung von WANN und WO hätte jedoch die Anonymität geschwächt. Das WANN sieht man ja inzwischen auch und ich meine schon seit einiger Zeit aber für Details müsste man in die Release Notes gucken.

 

[Autokiller677]

Überall wird man gefragt: Hast du die Luca App? Mittlerweile nervt es. Werde auch weiterhin die Zettel ausfüllen.

In den meisten Läden wird der Zettel danach vom Angestellten in Luca eingetippt.
Das System soll die Daten aller Besucher ins GA übermitteln, also kommen auch die ohne Smartphone rein.

 

[noxcivi]

Ich finde den Ansatz der Luca-Entwickler, die Daten deswegen einfach als CSV bereitzustellen, legitim.
Für einen sicherheitsgerechten Umgang mit Excel (hallo Makros!) sehe ich in der Tat eher die IT der Gesundheitsämter (Schulungen!!!) am Zug.

Ganz und gar nicht! Die Mitarbeiter sind geschult, bei Daten von "außerhalb" besonders vorsichtig zu sein (Emails bspw.). Da steht dann "ACHTUNG: Diese Email stammt von außerhalb der Kreisverwaltung xYzdf, klicken sie nicht auf Links und begutachten Sie Anhänge sorgsam." *
Doch die Daten aus der Luca-App gelten als "intern" und somit vertrauenswürdig. Leider sind sie es nicht.

In einer Datenliste von Namen darf gerne 100-mal Donald Duck auftauchen, es gibt halt Trolle.
Es sollte jedoch unmöglich für einen Troll sein, als Name etwas wie

\.. del *

anzugeben. Genauso kommen in einer PLZ niemals andere Zeichen vor als Ziffern. Also dürften in der Spalte für PLZ auch nur Zahlen auftauchen. Dafür hat man als Datenlieferant zu sorgen. Das wurde veregssen.
Das ist allein Schuld der Luca-App.

*Natürlich ist es illusorisch anzunehmen, dass die Sorgfalt im stressigen Alltag stets zur Anwendung kommt. Crypto-Trojaner sind noch sehr erfolgreich. In dem sind aber "Datenerzeuger" und "Datenlieferant" bösartig.

 

[killerwolf]

Der gute Smudo wird hier aber zerrissen. Der hat die App vorgestellt und ja vermarktet als die Warn-App noch keine solche Funktion anbot.
Wenn die Politiker aber nicht selbst auf dem Trichter kommen ähnliches in die CWA zu integrieren und unser Steuergeld zu schützen dann bedankt euch mal wieder bei denen.

Die offizielle App kann das ja inzwischen. Von daher sehe ich keinen Grund diese Schund-App weiterhin im Appstore anzubieten, wenn deren Betreiber nicht mal was gegen schwere Sicherheitslücken unternehmen.

Und diese Vorwürfe gibt es nicht erst seit Heute. Siehe Meldungen vom CCC von vor Monaten.

unglaublich wie hier diese CWA plötzlich übern Klee in den Himmel gelobt wird....wieviel Mio's hatte die schon verschlungen bis sie dann Monate verspätet erstmalig veröffentlicht wurde
und nun 12 Monate später erst Funktionen bekommt, wofür sie überhaupt entwickelt wurde.

Smudo & Co hatten etwas angestossen und Initiative gezeigt...der Bund hat Geld verteilt ohne zu schauen was bei rauskommt.
und das kommende Bundes-MIllionengrab ist der digitale Impfnachweis.

 

[bondki]

Und was willst du uns nun damit sagen?
Hätte man von Anfang an auf den CCC gehört, würde es diese Schwachstellen verseuchte App namens Luca gar nicht erst geben. Da ist mir die Corona-Warn-App jedenfalls lieber als eine, deren gravierende Sicherheitslücken seit Monaten nicht gefixt werden...und die wahrscheinlich nur durch Korruption überhaupt soweit verbreitet ist.

 

[Unnu]

was aber für jeden mit etwas IT Ahnung von Anfang an klar war.

Naja, von der offiziellen Tracing-App von SAP & Telekom war ich schon - positiv (!) - überrascht.
Die hatten das tatsächlich Datensparsam und Vorschriftenkonform umgesetzt UND zum Laufen gebracht.

Dieses Luca-Gedöns bestätigt mal wieder sämtliche Vorurteile.
Seufz.

Ergänzung (31. Mai 2021)

Ich möchte ja nicht arrogant klingen, aber sind Code Injections nicht der allererste Punkt, den man als Entwickler bei user input den Riegel vorschiebt?

Nö, bist Du nicht. Das ist in der OWASP Top 10 nach wie vor der erste Platz.
Das ist jetzt nicht SQL sondern .cvs, aber im Endeffekt führt Excel Makros aus.
Output-Sanitization FTW.

Mir gefiel ja besonders das Statement eines der Gründer: "Wir benutzen React, da ist das ausgeschlossen".
Tja, wenn man genauer hinsieht, dann merkt man, dass das nur für HTML gilt. (Also XSS und so'n Zeuch).
Schade, schade.

 

[mibbio]

Die hatten das tatsächlich Datensparsam und Vorschriftenkonform umgesetzt UND zum Laufen gebracht.

Weil dort im Vorfeld (auch mit Fachleuten) diskuttiert wurde, wie so eine App aussehen müsste. Man erinnere sich noch an die Diskussion zentrale vs. dezentrale Datenspeicherung. Und anhand dessen hat man dann die App umgesetzt und mit Offenlegung des Sourcecodes andere an der Entwicklung beteiligt (sei es durch Einreichen von Bugfixes oder dem Aufspüren von Sicherheitslücken).
Die ganze Entwicklung hatte also Hand und Fuß mit dem Ziel, schon durch den teschnischen Ansatz eine möglichst hohe Akzeptanz zu erreichen.

 

[Unnu]

@mibbio Ja, ich weiß. Das spannende daran war ja, dass sich an die getroffenen Absprachen / Annahmen etc. sogar gehalten wurde. (Das ist ja bei so schnell durchgehauenen Projekten nicht immer der Fall.)
Alles in allem durchaus beeindruckend.

 

[Cool Master]

Die hatten das tatsächlich Datensparsam und Vorschriftenkonform umgesetzt UND zum Laufen gebracht.

Ja das stimmt, trotzdem bin ich davon kein Freund. Man sieht ja nun, nach rund einem Jahr, dass es nichts gebracht hat. Überraschung, die Zahlen gehen jetzt auch wieder runter. Ich lege mich mal aus Fenster und sage so gegen Okt./Nov gehen sie wieder hoch.

 

[SIR_Thomas_TMC]

Ich lege mich mal aus Fenster und sage so gegen Okt./Nov gehen sie wieder hoch.

Hoffentlich lehnst du dich nur.
Und ich lehne mich mit und bin mir sicher, dass wir dann ganz überrascht sind, dass Schulen digitale Infrastruktur, Raumlüftung, Lehrermangel, Pflegekräfte, Bezahlung, blabla

Außer das mit dem Impfen klappt einigermaßen.

 

[halbtuer2]

Ich halte mich dezent aus dieser Debatte raus, allerdings mit dem Hinweis: egal ob staatlich oder privat, mir kommt keine solche App auf das Telefon.

Ergänzung (31. Mai 2021)

Hoffentlich lehnst du dich nur.
Und ich lehne mich mit und bin mir sicher, dass wir dann ganz überrascht sind, dass Schulen digitale Infrastruktur, Raumlüftung, Lehrermangel, Pflegekräfte, Bezahlung, blabla

Außer das mit dem Impfen klappt einigermaßen.

Auch das Impfen wird da nicht weiter helfen, im Herbst geht es wieder steil nach oben.
Dafür verwette ich meinen kleinen Finger.
Und ja, ihr dürft mich gern dran erinnern.

 

[snaxilian]

kommt keine solche App auf das Telefon.

Weil du schon genug andere Datenkraken installiert hast?
Darf ich nach konkreten Gründen gegen die CWA fragen? Durch die Nutzung entstehen ja keine persönlichen Daten oder Nachteile, gerne auch per PN, Antwort kann aber paar Tage dauern...
Bin gerne an fachlichem und sachlichem Austausch interessiert.

Da die Impfung mit egal welchem Mittel keine Infektion verhindert, werden die Zahlen natürlich steigen aber idR werden es dann asymptomatische oder milde Fälle sein.
Wenn keine escape-Mutation kommt, kann es ein normaler Herbst etc. werden.

 

[mibbio]

Da die Impfung mit egal welchem Mittel keine Infektion verhindert, werden die Zahlen natürlich steigen aber idR werden es dann asymptomatische oder milde Fälle sein.

Also im Optimalfall zwar steigende Infektionszahlen, aber von der Schwere eher auf Niveau einer Grippewelle?

 

[halbtuer2]

Weil du schon genug andere Datenkraken installiert hast?
Darf ich nach konkreten Gründen gegen die CWA fragen? Durch die Nutzung entstehen ja keine persönlichen Daten oder Nachteile, gerne auch per PN, Antwort kann aber paar Tage dauern...
Bin gerne an fachlichem und sachlichem Austausch interessiert.

Da die Impfung mit egal welchem Mittel keine Infektion verhindert, werden die Zahlen natürlich steigen aber idR werden es dann asymptomatische oder milde Fälle sein.
Wenn keine escape-Mutation kommt, kann es ein normaler Herbst etc. werden.

Wenn du einen Blick auf mein Telefon werfen würdest, wärst du vermutlich mehr als enttäuscht.
Mehr als Whatsapp wirst du an Social Media nicht finden.
Auch habe ich kein Facebook- Konto.
Ja, ein Emailprogramm ist noch drauf, sowie zum Datenaustausch der Phone Explorer, daß war es dann auch schon.
Ich wohne in einer relativ ländlichen Gegend, teste mich 2x die Woche, halte mich an die vorgegeben Regeln und zur CWA sage ich nur: ich muss, soweit ich weiß, in dieser App meinen Status selbst eingeben, oder sollte es. Sicherlich ist es kein Verbrechen, sich mit Corona anzustecken, aber: wenn der Verlauf wirklich schwer ist, ich im KH liege deswegen liege, hab ich sicherlich andere Sachen zu tun, als diesen Status zu teilen.
Hab ich einen relativ milden Verlauf, warum sollte ich mich von anderen Leuten noch mehr fernhalten als es mir jetzt schon aufgezwungen wurde, eventuell sogar Hausquarantäne?
Dann doch besser stillschweigen bewahren und wenigstens weiterhin ein kleinen bißchen Leben.

Ich leugne nicht die Existenz dieses Virus, aber die Sinnhaftigkeit, deswegen eine Applikation zu installieren, erschließt sich mir nicht.
Weil man stelle sich vor, bei mir das Telefon auch noch dazu genutzt wird, wofür es mal erfunden wurde, um damit zu telefonieren.

Und wenn es mich erwischen sollte, dann kann ich sehr gut meine Kontakte auch darüber informieren.
Das ich eventuell einen Einkaufswagen angefaßt habe, den vorher ein Infizierter angefaßt hatte, dagegen kann mich die Applikation nicht schützen, da helfen nur die eigenen Hygienemaßnahmen.

 

[Autokiller677]

Ja das stimmt, trotzdem bin ich davon kein Freund. Man sieht ja nun, nach rund einem Jahr, dass es nichts gebracht hat.

Und diese Behauptung basierst du auf was?

Dass die App nur ein Mittel von vielen sein würde und nicht der alleinige Heilsbringer war von Anfang an klar und wurde (außer von ein paar besonders technik-gläubigen) auch so kommuniziert.

Aber die Kombination aller Maßnahmen hat den r-Wert, der zu Anfang der Pandemie bei knapp 3 lag, danach konstant unter 1,5 gehalten. Dafür ist keine Maßnahme alleine verantwortlich.

Da egal welche App nur nach der Exposition helfen kann, wird sie schon konzeptbedingt nie so effektiv sein, wie präventive Maßnahmen, die die Exposition direkt verhindern. Aber eine Datenbasis dafür, dass die App nichts gebracht hätte, sehe ich nicht. Die beste App kann die Pandemie nicht alleine eindämmen, und wenn die Politik mit den übrigen Maßnahmen Jojo spielt, gehen die Zahlen halt dadurch trotzdem rauf und runter - ohne App wäre es aber wohl noch etwas schlimmer.