Corona-Tracking: Luca-Überwachung lässt sich mit Fake-Datenmüll aushebeln
Mit einem Fake-Programm lässt sich die Luca-App leicht austricksen. Nutzer bekommen davon nichts mit, Behörden können mit den Daten nichts anfangen.
(Bild: Camilo Concha/Shutterstock.com)
- Lukas Grunwald
Inzwischen ist die Luca-App zur Kontakt-Nachverfolgung in der Corona-Pandemie für manche Modellregionen als verpflichtend angezeigt – aber leider ist die Implementierung voll mit IT-Konzeptfehlern: Man kann sich leicht mit einer Fake-App einchecken, welche aber nicht zum Nachverfolgen zu gebrauchen ist. Sieht aus wie eine Luca-App, ist aber eine „gehackte“ Anonymus- oder Offline-Version, die im besten Fall nur Datenmüll übermittelt.
Folgende Anwendungsfälle soll die App unterstützen:
- Registrierung beim Luca Server: Der Benutzer gibt seine Telefonnummer, Name und Adresse ein. Diese wird an den Luca-Server geschickt; abgesichert mit SMS-TAN.
- Location: Selbst einchecken: Der Nutzer scannt einen QR-Code am Eingang. Im System der Location wird der Besucherzähler inkrementiert und in der App erscheint „eingecheckt“.
- Location: Einchecken lassen: Die Location hat einen Scanner – geht mit der Webcam über eine Webseite – und scannt damit den QR-Code, den die Luca App anzeigt. Im System der Location wird der Zähler auch inkrementiert und in der App erscheint „eingecheckt“.
- Privates Treffen erstellen: Das Treffen wird auf den Luca-Servern registriert. Es erscheint ein Barcode, den Besucher scannen können.
- Einchecken im privaten Treffen: Man scannt den Barcode des Treffens. In der App erscheint eingecheckt; auf dem Handy des Treffens geht der Zähler um die Gästezahl hoch und der Name des Besuchers erscheint.
Die Analyse
Der Sicherheitsforscher Kurt Huwig hat sich aus zwei Gründen mit der Luca-App beschäftigt. Zum einen kann er sie nicht nutzen, da der Hersteller die Installation nur für Menschen mit Wohnsitz in Deutschland genehmigt hat – das grenznahen Ausland ist ausgeschlossen. Dies ist neben der Handy-Parken-App bereits die zweite App, die vom Saarland gekauft wird und nicht in der Großregion Saar-Lor-Lux nutzbar ist.
Dies ist insofern verwunderlich, als bei den Grenzschließungen von der Landesregierung ausdrücklich betont wurde, dass eine geschlossene Landesgrenze nicht der Lebenswirklichkeit im Saarland entspricht. Trotzdem werden Gelder für Apps ausgegeben, die ein Großteil der Bürger in der Großregion gar nicht verwenden kann.
Der zweite Grund war, dass im Internet kleine Skripte kursieren, mit denen man die Einlasskontrolle von sogenannten "Luca Locations" austricksen kann, ohne sich jemals registriert zu haben. Dies wollte der Sicherheitsexperte im Quelltext nachprüfen. Hier fand er schnell heraus, wo und wie die Kommunikation mit den Luca-Servern erfolgt.
| Abgeänderte Funktionen der Fake-Luca-App | ||
| Anwendungsfall | Offline | Anonymisiert |
| Registrierung | keine Kommunikation | keine Daten werden übermittelt |
| Location: selbst einchecken | es erscheint immer die gleiche Location, da keine Kommunikation | Zufallsdaten werden übermittelt |
| Location: einchecken lassen | die App zeigt nicht an, dass man eingecheckt wurde, da keine Kommunikation | Zufallsdaten stehen im Barcode |
| Privates Treffen erstellen | aber niemand kann sich einchecken, da es das Treffen nicht auf den Servern gibt | Erstellung erfolgt mit Zufallsdaten |
| Einchecken im privaten Treffen | aber der Besucherzähler geht nicht hoch, da keine Kommunikation | Anmeldung mit korrektem Namen, aber zufälligen Daten |
Erschreckenderweise musste Herr Huwig feststellen, dass die Entwickler keinerlei Sicherheitsmechanismen versehen, die erkennen, ob jemand einen echten Luca-Barcode oder einen frei erfundenen präsentiert. Das ist in etwa so, als würde jeder sich eigene Autokennzeichen erstellen können und damit beliebig durch Blitzer fahren, ohne jemals belangt werden zu können.
Zwei Modi für die Fake-App
Daher hat er die App dahingehend modifiziert, dass diese Luca-Fake-Anwendung in zwei neuen Modi betreibbar ist: Mit "Anonym" registriert sich die App nicht bei den Luca-Servern, sondern erstellt sich beim Starten selbst eine zufällige Kennung und wechselt sie ständig.
Mit dieser Kennung kann sich der Nutzer an jeder Luca Location anmelden und sogar private Treffen erstellen. Für Außenstehende ist die Manipulation nicht erkennbar, denn die App verhält sich wie die richtige: Der Besucherzähler einer Luca Location geht hoch, sobald der Nutzer den Barcode der Location scannt und auch, wenn der Betreiber den Barcode der App selbst scannt.
Die Manipulation lässt sich erst feststellen, wenn das Gesundheitsamt versucht, auf die Daten zuzugreifen und dann nur digitalen Müll erhält – genauer "Benutzer unbekannt".
Fake-Luca-App (4 Bilder)
Im zweiten Modus arbeitet die App komplett offline, kontaktiert also niemals die Luca-Server. Dies wäre für den Betreiber einer Luca Location feststellbar, wenn er nach dem Scan des Anwenders überprüft, ob der Besucherzähler inkrementiert wird – was aber in der Praxis wohl kaum der Fall ist, wenn lediglich ein Barcode am Eingang klebt.
Scannt er den manipulierten Barcode der App selbst, erhöht sich sogar sein Besucherzähler ordnungsgemäß – lediglich die App meldet nicht, dass sie eingecheckt ist: Sie bekommt diese Aktion gar nicht mit, aber das kann man immer auf eine instabile Datenverbindung des Handys schieben.
Fazit
Es ist erstaunlich einfach, das Luca-System komplett auszuhebeln, und zwar so, dass es für die Betreiber von Luca Locations nicht möglich ist, diese Manipulation festzustellen. Das System ist damit sogar weniger sicher als Papierzettel, denn da kann er Betreiber prüfen, ob alles korrekt ausgefüllt wurde. Technische Details zu den Schwachstellen finden sich ebenfalls auf GitHub.
(fo)