Share this page!

Manuel Atug Profile picture
Twitter logo
13 Apr, 15 tweets, 6 min read
#LucaApp: Sicherheitslücke nährt weitere Zweifel an Luca-System

"In der Bar eingecheckt mit Luca? Durch eine Schwachstelle konnten auch Unbefugte erfahren, wo sich Nutzer aufhalten."

Sicherheitslücke #LucaTrack via @JakobStruller & @evawolfangel /1
zeit.de/digital/datens…
"Der #CCC fordert, die App nicht länger zu verwenden." /2
"trotz Corona-Pandemie bald wieder ein normales Leben möglich sein. Das ist das Versprechen der Macher hinter der Luca-App und des Luca-Schlüsselanhängers. Doch die Daten waren offenbar nicht immer gut gesichert. Durch eine Schwachstelle in der Software des Luca-Systems..." /3
"soll es möglich gewesen sein, auszulesen, wann und wo Personen mit dem Schlüsselanhänger eingecheckt hatten. Damit hätten Angreifer Bewegungsprofile erstellen oder einzelne Personen in Echtzeit verfolgen können." /4
"Die Lücke wurde von einer Gruppe unabhängiger IT-Expertinnen und Experten entdeckt und in einer Analyse, die ZEIT ONLINE vorab vorlag, dokumentiert." /5
lucatrack.de/LucaTrack%20Pr…
"Laut der Gruppe, die sich selbst #LucaTrack nennt, war es mit einfachen Mitteln möglich, die Software, die Luca selbst zur Registrierung und zum Scannen der QR-Codes anbietet, so zu manipulieren, dass alle besuchten Orte einer bestimmten Person ausgelesen werden konnten." /6
"Alles, was man für den Missbrauch der Daten benötigte, war ein Foto des QR-Codes, der auf dem Anhänger aufgedruckt ist." /7
"Minimale Programmierkenntnisse seien ausreichend gewesen, um die Lücke auszunutzen, sagte #LucaTrack-Mitglied @rvnstn /8
"Damit lässt sich ein Programm schreiben, das dem Angreifer in Echtzeit mitteilt, wo sich ein Nutzer gerade aufhält." /9
"In einem Video zeigen er, die Software-Entwicklerin @bkastl und weitere ungenannte Mitstreiter, wie sich in wenigen Sekunden die Bewegungshistorie eines Nutzers auf einer Karte visualisieren lässt, wenn dessen QR-Code bekannt ist." /10
"Auch andere, beispielsweise Stalker, hätten die Lücke ausnutzen können, so @rvnstn. Dazu hätten sie nur einmal unbemerkt den Anhänger einer Person fotografieren müssen." /11
"Daraufhin hätte man "30 Tage in die Vergangenheit schauen und alle künftigen Check-ins dieser Person in Echtzeit verfolgen" können, sagte er." /12
"Potentiell sei eine solche Schwachstelle auch für #Geheimdienste oder #Strafverfolgungsbehörden interessant. "Eine Lücke, die systembedingt vorhanden ist, kann auch von legalen Mächten missbraucht werden", so @rvnstn" /13
"Erst vor wenigen Tagen hatte der innenpolitische Sprecher der CDU-Fraktion Baden-Württemberg laut der Deutschlandfunk-Korrespondentin Katharina Thoms vorgeschlagen, Demonstrationsteilnehmer per Luca-App zu registrieren..." /14
"Der #CCC fordert eine "Bundesnotbremse" für #LucaApp /15
ccc.de/de/updates/202…

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Manuel Atug

Manuel Atug Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @HonkHase

Manuel Atug Profile picture
15 Apr
Anpassungen im #ITSIG20, die kommen sollen! ☝️

3 wesentliche Themenblöcke und einige weitere Dinge:

* Unabhängigkeit @BSI_Bund
* Schwachstellen und BSI
* Lex Huawei

Schauen wir mal in die bekannt gewordenen Details
#KRITIS #UNBÖFI /1 Image
Unabhängigkeit @BSI_Bund
* Anpassung § 1 BSI-Gesetz, dass BSI „nach den Anforderungen der jeweils fachlich zuständigen Ministerien auf der Grundlage wissenschaftlich-technischer Erkenntnisse“ arbeitet
* Festlegung auf Grundlage der Wissenschaft -> weniger politischer Einfluss /2
Schwachstellen und @BSI_Bund
* BSI wird verpflichtet, Informationen über #Schwachstellen anzunehmen (war vorher kann Option)
* BSI kann die Öffentlichkeit warnen, ohne vorher zuständige Aufsichtsbehörden zu konsultieren /3
Read 13 tweets
Manuel Atug Profile picture
14 Apr
Kritische Infrastruktur: Das wirtschaftliche Rückgrat unserer Gesellschaft

Interview von @caspardohmen mit @MCKettemann und mir zu Angriffen auf #KRITIS und Cyberspionage im @dlfkultur /1
deutschlandfunkkultur.de/kritische-infr…
"Das heißt, auch kritische Infrastrukturbetreiber werden durch Erpressungsforderungen bedroht – in unterschiedlichen Sektoren unterschiedlich stark. Krankenhäuser waren öfter mal von Vorfällen betroffen oder zum Beispiel kommunale Systeme von Städten..." /2
"weil man da recht gut was raus erpressen kann“, sagt @HonkHase. Er arbeitet für die Beratungsfirma @HiSolutions, ist Mitglied beim Chaos Computer Club und einer der Initiatoren der @AG_KRITIS." /3
Read 5 tweets
Manuel Atug Profile picture
13 Apr
#LucaApp in der Kritik - Das Beste daran ist das geniale Marketing

Bisher hat "die „kostenlose“ Luca-App..20 Mio € eingebracht..ohne Teilnahme an formellen europaweiten Ausschreibungen, ohne Einhalten von komplizierten Richtlinien..für die öff. Hand." /1
welt.de/wirtschaft/art…
"Die Bundesländer haben bereits Millionen ausgegeben, um die Kontaktverfolgungs-App einsetzen zu können. Auf Sicherheitsbedenken reagieren die Macher allerdings nicht, immerhin ein Bundesland zieht nun Konsequenzen." /2
"Wer bei...Ikea in Berlin einkaufen will, der muss vorher die Luca-App zur Kontaktnachverfolgung installieren. Auch bei...Baby One...Einzelhändlern in der „Modellstadt“ #Rostock...Veranstaltungen in Berlin...fester Bestandteil der Öffnungsstrategie, ohne die App geht nichts." /3
Read 22 tweets
Manuel Atug Profile picture
12 Apr
Abgeordnetenhaus Berlin

Plenarprotokoll, 76. Sitzung
Donnerstag, 25. März 2021

@SilkeGebel von den Grünen sagt (vermutlich Unwissend zum desolaten Zustand der #LucaApp):

"Deshalb bin ich froh, dass sich das Land Berlin für die Luca-App entschieden.." /1 parlament-berlin.de/ados/18/IIIPle…
"hat, denn damit können alle Orte, an denen Begegnungen stattfinden, also das Café, aber auch die S-Bahn, der Supermarkt oder das Kino, mit einem Check-in versehen werden. Wenn es dann zu Coronafällen kommt, können so Clusterausbrüche endlich schneller erkannt.../ 2
" und eingedämmt werden, und die Gesundheitsämter müssen nicht mehr in ihrer Zettelwirtschaft wühlen. Aber auch hier gibt es noch viel tun. Die App muss an möglichst allen Orten eingesetzt werden. Möglichst viele Berlinerinnen und Berliner müssen die App herunterladen..." /3
Read 4 tweets
Manuel Atug Profile picture
12 Apr
Wenn Politik sich ins Security-Theater flüchtet

"Das Debakel um die #LucaApp zur Kontaktnachverfolgung. Teil 3 und Schluss: Kaputtgesparte Behörden, kritische Datenschützer und seltsame Entscheidungen von Politikern" /1
heise.de/tp/features/We…
"kognitive Dissonanzen: Weil Rapper Smudo für Erfolg und positives Denken steht, muss auch die Luca-App erfolgreich und positiv sein, das geht gar nicht anders." /2
"Dass der Rapper vermutlich keinen "blassen Schimmer" von der Technik hat, die dahintersteckt und ein rein kommerzielles Interesse verfolgt – was ja nicht verwerflich ist–, spielt da keine Rolle. Das alles ist das Einmaleins guten Marketings." /3
Read 33 tweets
Manuel Atug Profile picture
11 Apr
Von Smudo bis Blockchain – so frickelt Deutschland an digitalen Helfern

"...Wann ermöglicht die @coronawarnapp den Check-in auf Veranstaltungen? Und warum erlaubt die #LucaApp 600.000 Gäste auf einer fiktiven Party? Ein Überblick." /1
spiegel.de/netzwelt/apps/…
"finde man es »befremdlich«, dass die Luca-App »vor allem im Öffentlich-Rechtlichen als das Maß aller Dinge angepriesen wird«, zumal es weitere, sehr gute Anbieter gebe." /2
"Zwar liegt die Entscheidung bei den einzelnen Bundesländern, allerdings haben sich die Ministerpräsidenten festgelegt, »dass man sich auf ein einheitliches System verständigt«, teilt das Gesundheitsministerium mit." /3
Read 10 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @HonkHase has new unrolls!

Check out other threads from @HonkHase!

Read all threads by @HonkHase