Ich habe mir grade einen "Donald Duck" QR-Code in der #LucaApp gebaut. Der Code hat weder eine Telefonnummer, noch Kontaktdaten. Hab mir ne Testlocation angelegt und es hat alles funktioniert. Ist das der Plan? @_lucaApp
Ich hab hierzu aus dem Code einfach alles rausgebaut, was in irgendeiner Weise Daten erfasst. Die SMS-Tan geschichte ist auch weg. Das ist aber alles gar nicht relevant, weil das bedeutet, dass der QR-Code keine validen Informationen beinhalten muss.
Wenn ich also clientseitig einen QR-Code bauen kann, der keine TelNummer enhaelt, dann kann ich auch einen bauen, der eine falsche TelNummer enthaelt.
Ich brauch also auch keine 1mio Follower wie @janboehm sondern kann mir einfach auf meinem Rechner die QR-Codes generieren und dann den Zoo alleine zubomben?
Jeder QR-Code hat dann eine echt aussehende Telefonnummer, die das GA nicht von einer falschen auseinanderhalten kann?
Ich kann mir einen QR-Code fuer meinen Kollegen auf Arbeit bauen, der mir auf den Senkel geht, check den nur oft genug irgendwo und dann wird der einfach mal 2 Wochen in Quarantaene geschickt?
Sagen wir mal, man deaktiviert den Self-Check-In und man muss seinen QR-Code vor Ort manuell scannen lassen, was nuetzt das dann? Der QR-Code entsteht client-seitig, also baue ich einfach eine Fake-Luca-Webseite, auf der man vorher seine gewuenschten Fake-Daten angeben kann
Gibt ja schon die Webapp app.luca-app.de/webapp/setup ich kann mir also einfach den Code ziehen und gucken wie der QR-Code gebaut wird und Fake mir einen eigenen hin. Leute vor Ort sehen ja (hoffentlich) meine pbD nicht, deswegen muss da vmtl nicht mal was drin stehen...
Fuer mich sieht das so aus, als ob das fuer den Self-Check-In den Tod bedeutet, weil niemand mehr sinnvoll sagen kann, ob das richtige Daten sind oder Daten die mit krimineller Absicht angelegt worden sind (zum Beispiel um bewusst das GA zu blockieren, o.ae.)
Fuer den manuellen Scan ist das Missbrauchspotential zwar geringer, aber der Aufwand eine Fake-Luca-App zu bauen ist nicht hoch und jeder der Luca nicht verwenden will, kann eigentlich darauf zurueckgreifen (Stichwort: Schwurbler)
Fuer mich sieht es jetzt so aus, als ob wir mit #LucaApp ein Stueck kritische Infrastruktur hinstellen wollen, die Stand jetzt ein sehr hohes Missbrauchpotential aufweist. Scheinbar ist es aber auch so, dass die App (unabsichtlich) dezentral verwendet werden kann 🙃👍
Niemand haelt euch davon ab, euch mit #LucaApp als euer Nachbar im Stripclub einzuchecken. Niemand haelt euren Nachbarn davon ab, dasselbe mit euch zu tun. Ein Thread ueber technische Maengel und clientside Validation in der #LucaApp (1/36)
Bei der Registrierung schickt die App eure Kontaktdaten verschluesselt ans Luca-BE, und bekommt User-Id zurueck. Da ihr beim Namen und Adresse eh eintragen koennt was ihr wollt, ist das einzige was hier noch zart validiert wird, eure Telefonnummer. Das aber clientseitig. (2/36)
Die TAN-Eingabe ist also keine wesentliche Vorraussetzung fuer das Erstellen eines Luca-Kontos. Das bedeutet auch, die Daten die ihr zur Registrierung nutzt werden nicht ueberprueft. (3/36)