Luca-App für Kontakt-Tracking: Sicherheitslücke in Schlüsselanhängern gefunden

Eine Schwachstelle im System ließ Angreifer Bewegungsprofile auslesen. Die Lücke soll bereits geschlossen sein, doch der CCC fordert ein Moratorium für die App.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 211 Beiträge
Background,With,Big,Red,Flashing,Alarm,Lights.

(Bild: Camilo Concha/Shutterstock.com)

Von
  • Simon Koenigsdorff

IT-Experten haben eine Sicherheitslücke im System der Luca-App gefunden, durch die sie die Check-In-Profile von Nutzerinnen und Nutzern auslesen konnten. Wie die Gruppe unter dem Namen "Team LucaTrack" um Bianca Kastl und Tobias Ravenstein mitteilt, sei es durch eine Sicherheitslücke in den QR-Codes von Luca-Schlüsselanhängern möglich, Bewegungsprofile nachzuzeichnen.

Die Schlüsselanhänger sollen Personen ohne Smartphone ermöglichen, das Luca-System zur Corona-Kontaktnachverfolgung zu nutzen. Insgesamt sollen laut dem Bericht über 100.000 Stück im Umlauf sein.

Das Luca-System ermöglicht es, mittels QR-Codes Kontaktdaten und Check-In-Zeiten von Menschen zu erfassen, die beispielsweise in Geschäften oder der Gastronomie ihre Daten zur Corona-Kontaktnachverfolgung hinterlassen müssen. Die Luca-Betreiber versprechen dabei, durch ein Verschlüsselungskonzept sicherzustellen, dass die Daten nur von Gesundheitsämtern im Rahmen einer Kontaktverfolgung eingesehen werden können. Kastl, Ravenstein und ihr Team haben jedoch einen Weg gefunden, die im QR-Code eines Schlüsselanhängers gespeicherten Registrierungsinformationen des Nutzers auszulesen. Dafür nutzten sie nach eigenen Angaben eine im Internet zugängliche Scanner-Anwendung des Luca-Systems und einen Breakpoint im Browser.

Im zweiten Schritt sei es möglich gewesen, die ausgelesenen Informationen in die Luca-Webapp einzuspielen und damit die vollständige Check-In-Historie des Schlüsselanhängers aus den letzten 30 Tagen zu erhalten. In den Daten seien auch genaue Check-In-Zeiten sowie die Geo-Koordinaten und Adressen der Orte enthalten, an denen der Anhänger benutzt wurde. Wer einmal die Registrierungsinformationen ausgelesen habe, könne künftig außerdem in Echtzeit überwachen, wann und wo sich der Schlüsselanhänger eincheckt. Das könne zum Beispiel von Stalkern missbraucht werden.

Die Gruppe hält die Konsequenzen der Lücke, die sie auch in einem Twitter-Video demonstriert, für "gravierend", da auch sensible Orte wie religiöse Einrichtungen, Selbsthilfegruppen oder politische Versammlungen betroffen sein könnten. Sie fordert, die Schlüsselanhänger nicht weiter einzusetzen. In einer Pressemitteilung von Dienstag erklären die Luca-Betreiber, man habe die Möglichkeit, die Kontakthistorie abzurufen, "sofort" nach Bekanntwerden der Lücke deaktiviert.

Während die Daten der Check-In-Locations laut der Beschreibung der Sicherheitslücke problemlos einsehbar waren, betonen die Luca-Betreiber der Firma Culture4life, dass die Kontaktdaten der einzelnen Nutzer nicht betroffen gewesen seien. Man empfehle jedoch, "den persönlichen Schlüsselanhänger mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen."

Dass im Internet kursierende Luca-QR-Codes problemlos einen Check-In von nicht anwesenden Personen aus der Ferne ermöglichen, hatte unlängst der Satiriker Jan Böhmermann auf Twitter demonstriert, in dem er zusammen mit anderen Nutzern eine Nacht im Osnabrücker Zoo verbrachte.

Der Chaos Computer Club (CCC) forderte in einer Mitteilung von Dienstagabend nach Bekanntwerden der Sicherheitslücke ein "umgehendes Moratorium" für die Luca-App. Die Schwachstelle zeuge "von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit", bemängelt CCC-Sprecher Linus Neumann. Der CCC verweist dabei auch auf eine Analyse von Sicherheitsforschern der Hochschule EPFL in Lausanne, die dem Luca-System wegen der zentralen Datenhaltung großes Missbrauchspotenzial attestiert hatten. Darüber hinaus kritisiert der CCC, dass sich die Verifizierung der Telefonnummer beim Anlegen eines Luca-Accounts leicht umgehen lasse, sodass das System durch massenhafte Fake-Accounts und Check-Ins an beliebigen Orten sabotiert werden könne. Auf diese Gefahr hatten auch Forscher der TU Darmstadt kürzlich hingewiesen.

Auch die Vergabepraxis beim Einsatz der Luca-App in zahlreichen Bundesländern steht zunehmend in der Kritik. Nach Recherchen von Netzpolitik.org setzen inzwischen 13 Bundesländer das System ein oder planen dies – für Lizenzgebühren von insgesamt knapp 20 Millionen Euro für ein Jahr, wobei die Beträge für einige Länder noch nicht bekannt sind.

Der CCC fordert eine Untersuchung des Bundesrechnungshofs, weil die App trotz bekannter Sicherheits- und Datenschutzmängel und ohne öffentliche Ausschreibung mit Steuergeldern lizenziert werde. Darüber hinaus seien Teile des Quellcodes immer noch nicht öffentlich, und bei der ersten Code-Offenlegung der Android-App war es zunächst zu Lizenzproblemen gekommen.

[Update vom 15.04., 9:45 Uhr:] Die Luca-Betreiber haben sich zu den Vorwürfen des CCC geäußert. Die Vorwürfe seien "überzogen", heißt es in einer Pressemitteilung. Man setze auf eine "konstruktive Zusammenarbeit mit der netzpolitischen Community" und wolle kein "Wettrennen, wer Systeme am besten täuschen oder missbrauchen kann." Zwar sollten Fragen zur Sicherheit des luca-Systems "unbedingt" gestellt werden, doch man wisse von keiner Lücke, durch die Kontaktdaten der Nutzer gefährdet gewesen seien. Den massenhaften Missbrauch des SMS-Validierungssystems für Fake-Accounts schränke man durch ein Rate Limit ein, sodass nur begrenzt viele Anfragen gleichzeitig ausgeführt werden könnten. Der Vorwurf, das Geschäftsmodell von Luca sei unseriös, weisen die Betreiber zurück: Die Nutzerdaten würden nur zweckgebunden für die Coronakontaktverfolgung erhoben. Dass künftig auch Schnelltestergebnisse und möglicherweise sogar Einlasstickets in der App hinterlegt werden können, geschehe auf Nachfrage von Kommunen, die sich diese Funktionen für Modellöffnungen gewünscht hätten. Bei der Vergabe in den einzelnen Bundesländern sei es durchaus zum Vergleich mit Konkurrenten gekommen, doch Luca habe "offensichtlich" als einziges alle Anforderungen wie "Ende-zu-Ende-Verschlüsselung als Muss-Kriterium", automatische Übertragung von Kontakthistorien an Gesundheitsämter und Benachrichtigung der Nutzer beim Datenzugriff erfüllt. [/Update]

Einen weiteren Kritikpunkt hatte zuletzt der Bayerische Blinden- und Sehbehindertenbund aufgebracht: Laut einem Bericht der dpa hatte der Bund die Luca-App wegen mangelnder Barrierefreiheit kritisiert. Sowohl unter iOS als auch Android gebe es Probleme bereits bei der Einrichtung der App. Ein Sprecher von Culture4life kündigte daraufhin Nachbesserungen bis Mitte nächsten Monats an.

Auch zwischen Politik und Datenschutzbehörden ist man sich über den Einsatz von Luca inzwischen uneins. Während das baden-württembergische Sozialministerium am Dienstag seine Empfehlung des Luca-Systems noch einmal bekräftigte, da es "einer von vielen wichtigen Bausteinen" in der Pandemiebekämpfung sei, forderte die niedersächsische Datenschutzbeauftrage Barbara Thiel in der Neuen Osnabrücker Zeitung Nachbesserungen beim Datenschutz und bestätigte damit eine entsprechende Forderung der Konferenz der deutschen Datenschutzbehörden. Thüringen und Nordrhein-Westfalen haben bislang als einzige Bundesländer angekündigt, auf eine offene Schnittstelle für Kontaktverfolungsapps einschließlich Konkurrenzprodukten zu Luca zu setzen.

(kbe)