Die Macher der Check-in-App Luca haben erstmals den Quellcode ihrer App für Android veröffentlicht. Sie reagieren damit auf Kritik, ohne Offenlegung könne die Sicherheit der App nicht richtig überprüft werden. Doch auch mit der Art, wie sie nun den Quellcode öffentlich zugänglich machten, ernten die Macher Gegenwind.
Eine massive Werbekampagne hatte in den vergangenen Wochen einen Hype um die Luca-App entfacht, befeuert vom Engagement des Rappers Smudo von den Fantastischen Vier. Die von der Firma NeXenio entwickelte App vermeldete hunderttausende Downloads, bald darauf kündigten die Bundesländer Berlin und Mecklenburg-Vorpommern an, auf die Dienste Lucas zu setzen.
Doch die Lizenz, unter der die Macher der App den Quellcode zunächst veröffentlichten, sei die „schlimmste […], die wir seit Langem gelesen haben“, kritisieren die Hacker:innen von Zerforschung. Mögliche Sicherheitsprüfungen der App würden durch die restriktive Lizenz eingeschränkt.
In der ersten Version der Lizenz von gestern Abend hieß es noch, der Quellcode dürfe ausschließlich für persönliche, nicht-kommerzielle Zwecke verwendet werden. Er dürfe nicht anderweitig vervielfältigt, geteilt oder auf einem öffentlichen Netzwerk wiedergegeben werden.
Die Bedingungen seien ein Ausschlussgrund für viele Sicherheitsforscher:innen, die sich an einen Audit der Luca-App wagen könnten, kritisiert Zerforschung. Es sei unklar, ob die Beschränkung auf persönliche Zwecke unabhängige Organisationen ausschließe. Auch könne die Beschränkung auf nicht-kommerzielle Zwecke selbst Forschungsgruppen ausschließen, die bloß über ihre Website Spenden sammelten. Und das Verbot der Wiedergabe in öffentlichen Netzwerken könne bedeuten, dass selbst schon das Teilen von Screenshots des Quellcodes auf Twitter dagegen verstoße. Die Linken-Politikerin Anke Domscheit-Berg schrieb auf Twitter, die Macher der App machten sich damit lächerlich.
Die Macher änderten rasch die Lizenz
Mittlerweile hat sich die Lizenz verändert, die App steht nun nicht mehr unter einer sogenannten „Eingeschränkten Lizenz“, sondern unter der Gnu General Public License 3, die häufig für freie Software genutzt wird. In den Anmerkungen auf Gitlab heißt es: „Update from temporary to open source license“.
Insgesamt wirkt die Veröffentlichung des Codes wie eine lästige Pflichtübung für die Macher. Noch Anfang des Monats hatte der Mitgründer und Altrapper Smudo wissen lassen, quelloffenen Code werde es dann geben „wenn wir Raum dafür haben“.
Für Aufsehen hatten zunächst auch Vorwürfe gesorgt, dass im Quellcode der kommerziellen Luca-App auch Open-Source-Komponenten Dritter zum Einsatz kommen. Diese Arbeit anderer sei nicht als solche gekennzeichnet, was einen mutmaßlichen Verstoß gegen die Lizenzen dieser Code-Teile darstelle, schrieb der IT-Unternehmer Ralf Rottmann auf Twitter. Auch sei unklar, ob es noch eine Datenschutzfolgeabschätzung für die App geben werde.
Die Macher von Luca betonen auf Anfrage von netzpolitik.org, auf die Kritik gegen die „Eingeschränkte Lizenz“ rasch reagiert zu haben. Was die Vorwürfe angeht, Code-Teile anderer lizenzwidrig verwendet zu haben, räumt Mitgründer Patrick Henning „Fehler“ ein. „Dies haben wir umgehend korrigiert und sind mit dem Autor im direkten Austausch.“ Auf die Veröffentlichung des Quellcodes für Android soll in den kommenden Tagen auch der für iOS folgen. Auch eine Datenschutzfolgenabschätzung sei geplant, sie werde nach der Abstimmung mit Datenschutzbehörden veröffentlicht.
App statt Stift und Papier
Die Luca-App soll ein Problem lösen, das die deutsche Politik geschaffen hat. Die Corona-Verordnungen der Bundesländer erlegen Lokalen und Veranstaltungsorten die Verpflichtung auf, Kontaktdaten ihrer Gäste für die Kontaktnachverfolgung zu sammeln. Bislang lief das an vielen Orten häufig mit Stift und Papier, was für hunderte Beschwerde bei den Datenschutzbehörden sorgte.
Bei Luca können sich Nutzer:innen mit ihrem Namen und ihren Kontaktdaten anmelden, über die App können sie sich dann bei Betreten eines Ortes über den QR-Code einchecken. Die Daten werden dann verschlüsselt zentral auf Servern der App gespeichert. Wird eine Person später positiv auf Covid-19 getestet, kann sie dem Gesundheitsamt eine Liste aller Orte freigeben, die sie in den vergangenen 14 Tagen aufgesucht hat. Wer dann zum selben Zeitpunkt anwesend war, wird gewarnt und zur Selbstisolation aufgefordert.
Doch von Anfang an gab es Kritik an der App. Ein Forschungsteam der Universität EPFL in Lausanne zeigte in einer Analyse auf, dass die zentrale Speicherung von Daten auf den Servern der Luca-Betreiber ein potentielles Sicherheitsrisiko darstelle. Auch könnten Nutzer:innen zu leicht de-anonymisiert werden. Wer das zentralisierte System nutze, müsse den Versprechen der Betreiber über Sicherheit und Anonymität vertrauen.
Inzwischen könnte Luca von einer mächtigeren Konkurrentin überholt werden: Die deutsche Corona-Warn-App, die bislang mehr als 26 Millionen Mal heruntergeladen wurde, erhält in ihrem nächsten Update ebenfalls die Funktion, per QR-Code an Orten einchecken zu können. Das soll bereits nach Ostern ausgerollt werden.
Die Macher von Luca sagen, ihr Zugang mit zentraler Datenspeicherung sei ein Feature, kein Bug. Denn dadurch bleibe anders als bei der Corona-Warn-App nicht den Nutzer:innen selbst überlassen, ob sie auf die Meldung eines Infektionsrisikos reagieren wollen oder nicht. Seine Firma rechne mit weiteren Aufträgen von Behörden und sei dafür mit zehn oder zwölf Bundesländern im Gespräch, sagt Luca-Schöpfer Henning. Dass das nicht ohne größere Debatten ablaufe, sei ihm allerdings klar.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires