Luca-App ist ein Einfallstor für Viren
Während die Macher der Luca-App weiterhin versuchen, die Sicherheitsbedenken zahlreicher Entwickler abzuwiegeln, zeigt ein Security-Experte eindrücklich, wie leicht sich darüber sogar Malware in Gesundheitsämter einschleusen lässt.
Schon seit Wochen tobt in Deutschland ein heftiger Streit um die Luca-App zur Kontaktverfolgung. Während sie in der Bevölkerung, wohl nicht zuletzt durch den rührigen Marketing-Einsatz schwäbischer Pop-Prominenz, vorwiegend als hippe Hoffnung auf mehr Freiheiten gesehen wird, sehen andere in ihr ein regelrechtes Teufels(werk)zeug. Neben grundsätzlichen Fragen über die Notwendigkeit und den Datenschutz entsprechender Lösungen im Allgemeinen geht es dabei vor allem ganz konkret um die mangelhafte Sicherheit von Luca. Immer wieder zeigen Software- und Security-Experten anhand von Schwachstellen auf, dass die Lösung technisch offensichtlich nicht ganz ausgereift ist. Bislang konnten die Macher diese jedoch in der öffentlichen Wahrnehmung recht locker als vermeintliche Kleinigkeiten vom Tisch wischen. In aktuellen Umfragen schenken die Deutschen der Luca-App sogar mehr Vertrauen, als der offiziellen Corona-Warn-App.
Dass es sich bei den Schwachstellen aber keineswegs nur um unbedeutende Kinderkrankheiten handelt, macht jetzt der Security-Experte Marcus Mengs anhand einer kürzlich entdeckten Lücke mehr als deutlich. Diese betrifft die bei der Namenseingabe erlaubten Zeichen. Nachdem Luca-Chef Patrick Hennig gegenüber der Zeit behauptet hatte, eine Code-Injektion sei darüber nicht möglich, schaute sich Mengs die Sache noch einmal genauer an und bewies jetzt wenige Tage später prompt das genaue Gegenteil. Er zeigt dabei nicht nur, dass sich über die Ausnutzung der Schwachstelle sehr wohl Code einschleusen ins Luca-Backend lässt, sondern auch, was damit alles möglich wird. Da Hacker über diese Hintertür sogar Zugang zu angeschlossenen Gesundheitsämtern bekommen könnten, ist das Gefahrenpotenzial enorm.
Mit einem simulierten Gesundheitsamtssystem demonstriert Mengs in seiner Demo etwa, dass sich auf diesem Weg sensible Daten aus den Netzwerken der Behörden absaugen lassen. In die andere Richtung könnten Hacker damit auch Malware einschleusen. In seinen Versuchen tauchte dabei lediglich eine kleine Warnmeldung von Office bei den zu infizierenden Clients auf, die viele Behördenmitarbeiter wohl einfach wegklicken würden. Ist diese Hürde genommen, könnten die Angreifer beispielsweise weitere Schädlinge nachladen um damit im internen Netz auf Raubzug zu gehen, oder die Ämter gar mit einer Ransomware-Attacke lahmlegen.
Damit ist es für Bürger wie Politik und Verwaltung gleichermaßen spätestens jetzt an der Zeit, die App-Strategie noch einmal genau zu überdenken. Dabei stehen sie vor einem paradoxen Problem. Während die offizielle Warn-App eher durch zu hohe Sicherheitsansprüche und eine traditionelle Skepsis gegenüber Behörden ausgebremst wird, setzen die gegenüber Bürger und auch viele Unternehmer lieber auf die offensichtlich deutlich riskante Alternative. Dass diese zudem zusätzliche Steuergelder kostet, ohne dafür einen echten Mehrwert zu bieten, wie Experten schon länger kritisieren, wird damit fast schon zur Randnotiz.