Schlüsselanhänger auslesbar - Luca-App kommt nicht zur Ruhe
Je mehr Bundesländer sich in den vergangenen Wochen Lizenzen sicherten, umso häufiger wurde auch Kritik an der Luca-App laut. Zu Beginn des seit November anhaltenden Lockdowns wurde die App als Heilsbringer in Sachen Kontaktnachverfolgung gefeiert. Smudo der Band Fanta 4 gibt das prominente Aushängeschild der Firma und sorgte für eine hohe mediale Präsenz. In der Praxis soll die App den Zettelkrieg bei der Kontaktverfolgung beenden.
Leider sammelten sich in der jüngeren Vergangenheit jedoch auch Meldungen über Programmierfehler, unzureichende Datenschutzmaßnahmen und Verstöße gegen Wettbewerbsvorgaben. Da die Auftragserteilung der einzelnen Länder in den meisten Fällen ohne vorherige Ausschreibung erfolgte, fühlten sich viele Konkurrenten betrogen. Zwischenzeitlich gibt es nämlich eine Vielzahl von Anbietern, die dieselbe technische Lösung anbieten und mit Klagen in Bezug auf das nicht vorhandene Ausschreibungsverfahren drohen. Thüringen hat die vergaberechtliche Gefahr scheinbar erkannt und schreibt daher die Vergabe vor Auftragserteilung ordnungsgemäß aus.
Auslesen der Schlüsselanhänger
Eine Gruppe von IT- und Netzwerkexperten mit dem Namen Lucatrack untersuchten den Schlüsselanhänger auf Sicherheitslücken und weist in ihrem Bericht schwerwiegende Sicherheitslücken auf. So lässt sich mit einfachen Programmierkenntnissen das Bewegungsprofil des Nutzers auslesen. Um an die Daten zu gelangen reichte ein Foto des Anhängers.
Im Bericht dazu heißt es: „Luca verwendet zur Sicherung von sensiblen Daten ein Verschlüsselungsverfahren, das ermöglichen soll, dass nur Gesundheitsämter die Daten zu den Check-ins einer Nutzer:in entschlüsseln können. Die jeweilige Historie ist ansonsten nur auf dem jeweiligen Endgerät der Nutzer:in einsehbar. Prinzipbedingt enthalten Schlüsselanhänger des Luca Systemsallerdings nur aufgedruckte, unveränderliche QR-Codes. Damit entsteht die Sicherheitslücke LucaTrack.“
Der aufgedruckte QR-Code wird an einer bestimmten Location mittels Scanner erfasst. Dieser Scanner ist eine einfache Webseite und kann über jeden gängigen Browser aufgerufen werden.
„Durch Setzen eines simplen Breakpoints (eines Haltepunkts, der Diagnoseinformationen ausgibt) im Browser lassen sich die Registrierungsinformationen eines beliebigen Schlüsselanhängers problemlos beim Scan auslesen.“
Die dadurch gewonnenen Informationen lassen sich im Nachgang über die Web App über „eine einfache Anpassung“ wieder einspielen. Der Zugang erfolgt ebenfalls über einen simplen Browser. Die Gruppe erklärt außerdem, wie es für unberechtigte Dritte anhand eines funktionalen Prototypen noch einfacher ist, an die Daten der vergangenen 30 Tage zu kommen. Auch hierfür wird lediglich der aufgedruckte QR-Code benötigt.
Der Bericht wurde dem Unternehmen und dem Berliner Datenschutzbeauftragten am gestrigen Dienstag zur Verfügung gestellt. Gleichzeitig fordert die Gruppe, die bereits verteilten 100.000 Anhänger aus dem Verkehr zu ziehen.
CCC fordert Notbremse
Die aufgedeckte Sicherheitslücke im Zusammenhang mit den Schlüsselanhängern reiht sich in die Schlagzeilen der letzten Wochen nahtlos ein. Unter anderem checkte TV-Satiriker Jan Böhmermann im Namen von Smudos Bandkollegen Michi Beck im Osnabrücker Zoo ein verbrachte eine aufregende Nacht dort. Die Hamburger Datenschutzbehörde forderte kürzlich eine datenschutzrechtliche Bewertung der App. Die neuerlichen Probleme mit dem Anhänger geben weiter Wasser auf die Mühlen. Eventuelle Klageverfahren gegen die Vergabepraktiken der einzelnen Länder birgen ein zusätzliches Risiko, auch aus Sicht des Steuerzahlers.
Aus diesen Gründen fordert die Hackervereinigung Chaos Computer Club eine sofortige Bundesnotbremse. Die anhaltenden Probleme im Zusammenhang mit der App sind dem CCC nach auf einen grundlegenden Mangel an Kompetenz und Sorgfalt zurückzuführen. Daher fordern sie "ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs".
Das könnte dich auch interessieren
Weitere Geschichten aus Apps.
WhatsApp plant einmal-anzeigen-Textnachrichten für iOS
WhatsApp erweitert die einmal-anzeigen-Funktion auf Textnachrichten. Die Aktivierung erfolgt durch langes Drücken des Senden-Buttons. Kanäle bleiben jedoch ausgeschlossen.
watchOS 27: Apple setzt auf Hintergrund-Optimierungen und neues App-Grid
Apple hat auf der WWDC 2026 watchOS 27 vorgestellt. Das Update setzt auf Performance-Verbesserungen im Hintergrund und ein neues dynamisches App-Grid für schnellere Navigation.
WhatsApp führt Multi-Account-Verwaltung für iOS ein
Die lange erwartete Funktion zur Nutzung zweier Konten gleichzeitig ist nun für die breite iOS-Nutzerschaft freigegeben. Die Einrichtung erfolgt direkt über die App-Einstellungen.
Apple aktualisiert Kindersicherung mit Browser-Zustimmung und Inhaltsfilter
Apple stellt neue Kindersicherheitsfunktionen vor, die Eltern mehr Kontrolle über Web-Zugriff, Kommunikation und Bildschirmzeit geben. Die Tools sind ab diesem Herbst über Softwareupdates verfügbar.
Apple präsentiert finale Nutzungszahlen zu iOS 26 und iPadOS 26
Apple hat zum Start der WWDC 2026 die finalen Adoption-Werte für iOS 26 und iPadOS 26 veröffentlicht. Alle Kennzahlen liegen leicht unter dem Vorjahresstand, während die Testphase für iOS 27 bereits begonnen hat.
iOS 27: Agentic KI wechselt schwache Passwörter automatisch aus
Mit iOS 27 führt Apple eine KI in die Passwords-App ein, die schwache oder gestohlene Zugangsdaten eigenständig ersetzt. Nutzer müssen künftig keine Webseiten mehr manuell aufrufen, um ihre Sicherheit zu verbessern.
Kommentare
Sei der Erste, der hier kommentiert.
Du musst angemeldet sein, um zu kommentieren.