Der Sicherheitsforscher Markus Mengs hat eine schwerwiegende Sicherheitslücke in der Luca App bewiesen. Damit können Luca-Nutzer das Gesundheitsamt mittels manipulierter Kontaktdaten angreifen und damit die Daten weiterer Nutzer:innen stehlen. Auch möglich sind weitere Angriffe wie zum Beispiel ganze Rechner beim Gesundheitsamt mit Ransomware zu verschlüsseln, weil Angreifer Code ausführen können.
Es handelt sich bei der Methode um eine Code Injection über die Adresse in den Luca-Daten. Bei einer Code Injection wird Programmiercode an einer Stelle eingeschleust, wo eigentlich kein Code ausführbar wäre. Verhindern lassen sich solche Angriffe zum Beispiel, indem man Zeichen wie = , oder () nicht zulässt oder automatisch durch ungefährliche Zeichen ersetzt.
Schon vor drei Wochen hatte Eva Wolfangel auf Zeit Online auf die Möglichkeit einer Code Injection hingewiesen. Der Vorstand von Nexenio, der Firma hinter der App, hatte eine Sicherheitslücke damals abgestritten. Kurz danach hatten die Entwickler allerdings Änderungen am Code vorgenommen, um eine Code Injection zu vermeiden. Das jedoch ohne Erfolg, wie der aktuelle Hack zeigt.
Lange Kette von Fehlern
Die neuerliche Sicherheitslücke reiht sich ein in eine lange Kette von Fehlern, die das Unternehmen gemacht aber nie zugegeben hat. Auf eine Anfrage von netzpolitik.org zur seit Wochen bekannten Sicherheitslücke antwortete der Luca-App-Sprecher Markus Bublitz: „Haben auch erst heute davon erfahren, wir schauen uns das gerade an.“ Er kündigte für später ein längeres Statement an.
Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), hat genau die Reaktion erwartet und kann es kaum fassen, wie er gegenüber netzpolitik.org sagt: „Wie immer wurde das Risiko herunter gespielt und die Schwachstelle sogar geleugnet. Die Schwachstellen sind eklatant, der Umgang damit katastrophal. Dieses Unternehmen hat kein Vertrauen verdient.“
„Verträge wegen mangelhafter Leistung abwickeln“
Die Häufung von eklatanten Fehler zeige, dass die Bundesländer hier auf ein in Windeseile zusammen gebasteltes Konzept hereingefallen seien. „Es wird langsam Zeit, die Verträge wegen mangelhafter Leistung abzuwickeln und die Luca App zu beerdigen“, so Neumann weiter. Die ganze Sache sei eine Blamage für jedes einzelne Bundesland, das Verträge mit den Betreibern der Luca App geschlossen habe.
Der CCC hatte schon vor mehr als einem Monat dazu aufgerufen, aufgrund der Mängel, Schwächen und Sicherheitslücken, die Notbremse zu ziehen und das Projekt zu stoppen.
Grundsätzliches Problem von Luca ist die zentrale Architektur der App. Auch das große Versprechen der App, die Arbeit der Gesundheitsämter zu erleichtern ist nicht eingelöst, denn diese nutzen Luca kaum. Die Bundesländer haben bislang Verträge in Höhe von fast 22 Millionen Euro für eine einjährige Lizenz zur Nutzung der Luca App abgeschlossen.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires