Hadmut Danisch

Ansichten eines Informatikers

Luca-Fake

Hadmut
2.5.2021 17:42

Nicht einfach nur Hohn.

Der Bundes-Digital-Hohn.

Ich hatte ja schon überlegt, ob man diese verschiedenen Pandemie-Apps nicht einfach durch einen Screenshot ersetzen kann. Habe ich schon einige Male gemacht, dass ich statt irgendwelcher Apps, die irgendwo was zum Eintritt oder Abholen anzeigen, aber sich wieder schließen und viel Gefummels benötigen, einfach einen Screenshot mache und stattdessen den Screenshot anzeige. Bordkarten am Flughafen und sowas.

Heise: Corona-Tracking: Luca-Überwachung lässt sich mit Fake-Datenmüll aushebeln

Inzwischen ist die Luca-App zur Kontakt-Nachverfolgung in der Corona-Pandemie für manche Modellregionen als verpflichtend angezeigt – aber leider ist die Implementierung voll mit IT-Konzeptfehlern: Man kann sich leicht mit einer Fake-App einchecken, welche aber nicht zum Nachverfolgen zu gebrauchen ist. Sieht aus wie eine Luca-App, ist aber eine „gehackte“ Anonymus- oder Offline-Version, die im besten Fall nur Datenmüll übermittelt. […]

Der zweite Grund war, dass im Internet kleine Skripte kursieren, mit denen man die Einlasskontrolle von sogenannten “Luca Locations” austricksen kann, ohne sich jemals registriert zu haben. Dies wollte der Sicherheitsexperte im Quelltext nachprüfen. Hier fand er schnell heraus, wo und wie die Kommunikation mit den Luca-Servern erfolgt. […]

Erschreckenderweise musste Herr Huwig feststellen, dass die Entwickler keinerlei Sicherheitsmechanismen versehen, die erkennen, ob jemand einen echten Luca-Barcode oder einen frei erfundenen präsentiert. Das ist in etwa so, als würde jeder sich eigene Autokennzeichen erstellen können und damit beliebig durch Blitzer fahren, ohne jemals belangt werden zu können. […]

Daher hat er die App dahingehend modifiziert, dass diese Luca-Fake-Anwendung in zwei neuen Modi betreibbar ist: Mit “Anonym” registriert sich die App nicht bei den Luca-Servern, sondern erstellt sich beim Starten selbst eine zufällige Kennung und wechselt sie ständig.

Mit dieser Kennung kann sich der Nutzer an jeder Luca Location anmelden und sogar private Treffen erstellen. Für Außenstehende ist die Manipulation nicht erkennbar, denn die App verhält sich wie die richtige: Der Besucherzähler einer Luca Location geht hoch, sobald der Nutzer den Barcode der Location scannt und auch, wenn der Betreiber den Barcode der App selbst scannt.

Die Manipulation lässt sich erst feststellen, wenn das Gesundheitsamt versucht, auf die Daten zuzugreifen und dann nur digitalen Müll erhält – genauer “Benutzer unbekannt”. […]

Im zweiten Modus arbeitet die App komplett offline, kontaktiert also niemals die Luca-Server. Dies wäre für den Betreiber einer Luca Location feststellbar, wenn er nach dem Scan des Anwenders überprüft, ob der Besucherzähler inkrementiert wird – was aber in der Praxis wohl kaum der Fall ist, wenn lediglich ein Barcode am Eingang klebt. […]

Es ist erstaunlich einfach, das Luca-System komplett auszuhebeln, und zwar so, dass es für die Betreiber von Luca Locations nicht möglich ist, diese Manipulation festzustellen. Das System ist damit sogar weniger sicher als Papierzettel, denn da kann er Betreiber prüfen, ob alles korrekt ausgefüllt wurde.

Technik, die begeistert.

Erinnert mich an eine Promotion einer Frau an der Uni Karlsruhe zu einem System zum „sicheren“ Online-Softwareverkauf, die so grottenschlecht war, dass sie noch viel unsicherer war, als wenn man einfach gar keine Sicherheitsmechanismen verwendete, weil sie gar nichts brachte, aber Bertrugsmethoden ermögliche, mit denen man den Händler unbegrenzt betrügen konnte, ohne dass der sich wehren konnte, die so nicht möglich wären, wenn man sich Software und Geld einfach auf Vertrauen zuwirft. Gab natürlich trotzdem summa cum laude, weil Frau.

Das sind Leute, die nicht mal im Ansatz verstanden haben, was Sicherheit überhaupt ist und leisten soll.

Und dafür hat man jetzt zig Millionen rausgeworfen.

Nach über einem Jahr Corona-Krise.