Niemand haelt euch davon ab, euch mit #LucaApp als euer Nachbar im Stripclub einzuchecken. Niemand haelt euren Nachbarn davon ab, dasselbe mit euch zu tun. Ein Thread ueber technische Maengel und clientside Validation in der #LucaApp (1/36)
Bei der Registrierung schickt die App eure Kontaktdaten verschluesselt ans Luca-BE, und bekommt User-Id zurueck. Da ihr beim Namen und Adresse eh eintragen koennt was ihr wollt, ist das einzige was hier noch zart validiert wird, eure Telefonnummer. Das aber clientseitig. (2/36)
Die TAN-Eingabe ist also keine wesentliche Vorraussetzung fuer das Erstellen eines Luca-Kontos. Das bedeutet auch, die Daten die ihr zur Registrierung nutzt werden nicht ueberprueft. (3/36)
Wenn ihr direkt an die Schnittstelle geht, koennt ihr Accounts anlegen mit den Daten die ihr wollt. Auch Name+Telefonnummer eures Nachbarn. (4/37)
Bei einem Self Check-In crypted euer Handy die User-Id mit dem PubKey der Location und schickt sie an Luca. Luca kann die ID nicht decrytpten und auf Plausibilitaet pruefen. Es wird einfach ein Check-In getriggert und irgendein Blob hinterlegt. (5/37)
Ich denke der manuelle Scanner-Check-In funktioniert nicht anders. (6/37)
Heisst das, ihr koennt mit einer nicht existierenden ID's Check-Ins vornehmen? Ich denke ja. #Eigenverantwortung (7/37)
Aber das ist gar nicht mal so spannend, viel spanner ist (und das hab ich schonmal gesagt) jemand der Fake-Daten generieren kann und die fuer Check-Ins benutzen kann, kann gezielt Gesundheitsaemter ausbremsen indem er einfach ueberall Self Check-Ins triggert. (8/37)
Man nimmt einfach den Facebook-Dump von neulich und guckt mal was so geht. Erstellt ein paar Profile und #lucabomb|t dann ein paar Self Check-Ins zu. (9/37)
<s> Vielleicht habt ihr einen Blog und ich hol mir einfach mal eure Kontaktdaten von da und check euch wo ein. Mal gucken. Seid besser lieb zu mir. </s> (10/37)
Ich weiss nicht wie sicherer man den manuellen Check-In machen kann. Grundsaetzlich kann man das weniger intensiv missbrauchen als den Self Check-In, das ist erstmal gut. (11/37)
Nichtsdestotrotz gilt immernoch: Wenn ich die clientside Logik kenne um mir eigene QR-Codes zu generieren, dauert das nicht lange bis irgendwo ein Luca-App-Imitat steht, was genau das tut. (12/37)
Soweit ich das einschaetzen kann, kann man diese Probleme nur wie folgt beheben: Schritt 1. Die Telefonvalidierung wird gehaertet, damit sichergestellt ist, dass zumindest die Handynummer im Backend valide ist. Unmoeglich ist das vermutlich nicht. (13/37)
Schritt 2. bei einem Check-In muss ueberprueft werden, ob die uebermittelte User-Id zu einem vorhandenen Datensatz passt. Nur dann darf der Check-In erfolgreich sein. (14/37)
Da die User-Id aktuell beim Check-In mit dem PubKey der Location gecrypted wird, ist die aktuell fuer das BE nicht lesbar. Dieser Schritt muesste also wegfallen, damit Luca da einen Plausibiltaetscheck machen kann. (15/37)
Das bedeutet dann eventuell, dass Luca Profile fuer Individuen erfassen kann. (16/37)
Was das aus Datenschutzsicht bedeutet, muss jemand einschaetzen der den Rechtsrahmen kennt. (ping @alvar_f) Und am besten, wenn die Luca fertig ist... (17/37)
#LucaApp ist also lange nicht fertig. Trotzdem gibt es Geld. Trotzdem gibt es Gutachten. Gutachten ueber eine Software die so grundlegende Probleme hat, die behoben werden muessen, dass man gar nicht sagen kann wie die Software aussieht, wenn sie behoben ist. (18/37)
Das ist als schicke ich ein Bild von meinem Auto zum TUEV. (19/37)
Und noch hat sich niemand den Backend-Code angeguckt... (20/37)
Luca bekommt das grosse Geld, waehrend die IT-Community hier umsonst Pen-Tests macht. Kann ich die Zeit von der Steuer absetzen? Wir haben gesagt, man kann Luca nicht einschaetzen bis man den Code nicht kennt. (21/37)
Der Code ist teilweise da und bisher ist Luca komplett unbrauchbar (22/37)
Es tut mir Leid fuer die Entwickler, denen Smudo mit Disstracks droht, sollten sie nicht arbeiten. Die wissen um den Stand ihrer Software und was sie Leisten kann. Es sind aber nicht die Entwickler, die die App promoten. Es ist Smudo und der Marketingapperat. (23/37)
Das ist auch das, was ua @HonkHase kritisiert. Was vermarktet wird, ist nicht das was wir bekommen haben. (24/37)
Aber wenn wir eins in dieser Pandemie gelernt haben, dann dass Fachkompetenz keinen Platz in politischen Entscheidungen hat. (Ende/37) 🤷♂️
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Ich habe mir grade einen "Donald Duck" QR-Code in der #LucaApp gebaut. Der Code hat weder eine Telefonnummer, noch Kontaktdaten. Hab mir ne Testlocation angelegt und es hat alles funktioniert. Ist das der Plan? @_lucaApp
Ich hab hierzu aus dem Code einfach alles rausgebaut, was in irgendeiner Weise Daten erfasst. Die SMS-Tan geschichte ist auch weg. Das ist aber alles gar nicht relevant, weil das bedeutet, dass der QR-Code keine validen Informationen beinhalten muss.
Wenn ich also clientseitig einen QR-Code bauen kann, der keine TelNummer enhaelt, dann kann ich auch einen bauen, der eine falsche TelNummer enthaelt.