Diese Woche hat der Sicherheitsforscher Makus Mengs eine gravierende Sicherheitslücke in der Luca App veröffentlicht. In kurz gefasst ist es möglich Schadcode über die Luca App in die Software der Gesundheitsämter einzuschleusen. Wie der Hack genau funktioniert wird in diesem -> Video ausführlich erklärt . Was für Risiken damit zusammenhängen, v.a. auch zukünftige und wie Luca zwar ein gewiefter Verkäufer ist, aber mehr eben auch nicht kann man hier nachlesen -> Artikel in der Zeit; -> Netzpolitik.org zur Luca App Lücke
“Luca hat das Risiko – wie immer – kleingeredet, statt es ernst zu nehmen.” Die Schwachstelle sei in wenigen Minuten zu beheben, “was es umso schlimmer macht, dass Nexenio den Fehler überhaupt gemacht und dann auch noch herumdiskutiert hat, statt sauber zu arbeiten”. (Zeit Online: “Luca-App:Hacker können Gesundheitsämter über Luca angreifen”, 27.05.2021)
Warum muss schon wieder über die LUCA APP berichtet werden? Weil es nicht sein kann, daß ein Staat Millionen ausgibt für ein Produkt, das allemal mangelhaft , eher gefährlich ist. Zumal es eine offizielle App und eine Reihe von anderen Anbietern gibt, die einfach gar nicht zum Zuge gekommen sind, weder bei der Vergabe noch bei Anne Will.
Eine gute Übersicht zu den momentan am Markt befindlichen Kontakt Nachverfolgungs Apps gibt es bei der –> Handwerkskammer Frankfurt als PDF zum Download. Handwerker die echtes Handwerk pflegen ….
Nachtrag: 28.05.2021 : Heute ist das Thema auch in der FAZ angekommen. Wie schon der Zeitpunkt vermuten läßt glänzt der Autor weder mit Weitsicht noch breitem Fachwissen, er bezieht sich wohl eher auf Reaktionen der APP Macher, so schreibt er: “Potentielle Opfer der Lücke sind folglich die Gesundheitsämter, nicht die Nutzer der App. Für letztere besteht keine Gefahr, angegriffen zu werden. Sie können nur gegebenenfalls mittelbar zu Opfern werden, wenn es Hackern gelingt, die Daten zu stehlen, die in die Luca-App eingegeben wurden – also in der Regel Name, Telefonnummer und E-Mail-Adresse.” (Bastian Benrath, Wirtschaftsredakteur, Hervorhebung nicht im Original)
Wie in dem ausführlichen Video von Makus Mengs zu sehen ist kann mehr passieren, als in dem FAZ Artikel steht. Alleine die Gefahr für die anderen Gesundheitsämter, die zentral über SORMAS verbunden sind darf nicht unterschätzt werden. An dieser Stelle darf man sich fragen ob das Alles ok ist: eine Firmensoftware, die in Sormas (immerhin offizielle Gesundheitsdaten!) angebunden wurde und deren Quellcode zum Zeitpunkt der Einbindung keinesfalls offengelegt war…Und wer sagt denn, dass nicht massenhaft Daten hieraus exportiert werden könnten bei Angriffen von aussen über die APP? Jedenfalls nicht Bastian Benrath und die FAZ….< persönliche Notiz 🙂 > Wenn das so weitergeht mache ich einen eigenen Tag mit der Luca app und den Sicherheitsbedenken dazu auf… < / persönliche Notiz 🙂 LOL*>
