Share this page!

Marcus Mengs Profile picture
Twitter logo
25 Jun, 17 tweets, 6 min read
@IngoPan Berechtigte Frage! Let me try:

Luca garantiert den Gesundheitsämtern "verwertbare" Kontaktdaten (wesentliches Merkmal). Die Plausibilitätsprüfung der Kontaktdaten beschränkt sich allerdings auf die Telefonnummer, welche ein Gast angibt (SMS Verifikation).

1/n
@IngoPan Diese Plausibilitätsprüfung lässt sich aber umgehen, so dass Nutzer mit beliebigen Telefonnummern (und weiteren Kontaktdaten) angelegt werden können (auch mehrfach, mit gleichen Kontaktdaten und Telefonnummer).

Damit ist zunächst die Integrität nicht mehr gewährleistet.

2/n
@IngoPan Jeder kann beliebige Nutzer anlegen (oder existierende Personen erneut anlegen). Wer einen Nutzer angelegt hat, kann diesen dann in beliebige Locations einchecken ... auch zeitgleich in mehrere.

Damit leidet die Integrität weiter, aber ...

3/n
@IngoPan ... es entsteht auch die Möglichkeit, Kontaktnachverfolgungsvorgänge (durch Gesundheitsämter) mit falschen/nicht relevanten Daten zu "fluten". Damit leidet, neben der Integrität, auch die Verfügbarkeit erheblich.

4/n
@IngoPan Dennoch müsste ein Threat Actor (geringen) Aufwand betreiben, um die SMS Verifizierung beim Neuanlegen von User Accounts zu überspringen und die angelegten Accounts irgendwo einzuchecken.

5/n
@IngoPan Luca gibt Location-Betreibern allerdings die Möglichkeit, Realpersonen über ein Webformular in Locations einzuchecken. Hierzu wird für die eingegebenen Kontaktdaten IMMER EIN NEUER USERACCOUNT ANGELEGT. Die SMS Verifizierung der Telefonnummer muss dabei nicht mehr ...

6/n
@IngoPan ... umgangen werden, denn sie findet von vornherein nicht statt. Der "Umgehungsaufwand" entfällt damit vollständig. Diese Webformulare existieren je Location und können ohne jegliche Authentifizierung von jedem genutzt werden. Der einzige Zugriffsschutz der hier ...

7/n
@IngoPan ... angesetzt wird, ist eine "geheime" ID, welche man kennen muss, um das "Checkin Formular" einer Location zu erreichen.

Diese IDs findet man aber mittlerweile veröffentlicht, bspw mit dem o.a. "Google Dork".

8/n
@IngoPan Es handelt sich also nicht um eine neue Schwachstelle, sondern, "security by obscurity" und fehlende Anwenderschulungen machen die Ausnutzung bestehender Schwachstellen noch einfacher.

Betroffen bleiben Integrität + Verfügbarkeit. Einfachere Ausnutzung erhöht dabei ...

9/n
@IngoPan ... die Eintrittswahrscheinlickeit (Risiko) und würde sich (bei korrekter Berechnung) auch auf den CVSS Score auswirken (also Kritikalität).

10/n
@IngoPan Man könnte zum Anlegen nicht verifizierter Nutzer auch eine eigene Location erstellen und deren "Checkin Formular" nutzen, aber dann müsste man wieder die SMS Verifizierung für Locationbetreiber umgehen (zusätzlicher Aufwand).

In jedem Fall landet das Schlüsselmaterial ...
11/n
@IngoPan ... für neue Accounts in der "IndexedDB" des Browsers und lässt sich leicht extrahieren.

Die Webformulare sehen dabei keine Löschung der angelegten Nutzeraccounts vor.

12/n
@IngoPan Legt also jemand mittels der Formulare Accounts an und verwendet dabei Ihre Kontaktdaten und Telefonnummer, bekommt davon niemand etwas mit:
- es wird nicht überprüft ob die Nummer ist (keine SMS an Sie)
- es wird nicht überprüft ob schon ein Nutzer mit der Nummer existiert

13/n
@IngoPan - werden die Accounts in Locations eingecheckt, kann ein Locationbetreiber nichts ungewöhnliches erkennen, da er keine Kontaktdaten sieht
- der Locationbetreiber könnte sie trotzdem "auschecken", in einer Abfrage durch Gesundheitsämter würden Sie trotzdem auftauchen...

14/n
@IngoPan ... wenn zeitgleich eine Kontaktperson anwesend war, für die eine Kontaktverfolgung ausgelöst werden musste
- das Gesundheitsamt müsste dann gemeinsam mit Ihnen feststellen, dass die Daten nicht valide waren
- dass Sie noch in hunderte weitere Locations eingecheckt wurden...
15/n
@IngoPan ... sieht das Gesundheitsamt zunächst nicht
- weitere Accounts, welche mit Ihrer Identität angelegt wurden, sind nicht löschbar, da niemand feststellen kann, dass diese existieren (bis diese in einem Tracing Vorgang relevant werden)

16/16
@IngoPan @threadreaderapp please unroll

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Marcus Mengs

Marcus Mengs Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @mame82

Marcus Mengs Profile picture
15 Jun
Schön erklärt von @lesmoureal:

Die #CWA kann Impfzertifikate fremder Personen scannen (wie Foto von fremden Impfbuch: Bist trotzdem nicht Du!)

Was die Tech-Community schon wusste, erklärt er auch:

#LucaApp nutzt Impfzertifikate, um endlich Deine Kontaktdaten zu verifizieren
Warum wird das gemacht?

Weil die #LucaApp bis Heute das Werbeversprechen nicht einlösen konnte, dass den Gesundheitsämtern valide Nutzerdaten geliefert werden. So ist bspw die Telefonnummern-Verifikation über SMS nicht funktional (vergleiche CVE-2021-33840)
Dass die #LucaApp versucht diesen Fehler über den Datenabgleich mit Impfzertifikaten zu kompensieren, führt zu weiteren Missbrauchs-Szenarien, denn:

Man kann die eigenen Luca-Kontaktdaten an ein fremdes Impfzertifikat anpassen, um dieses zu scannen...
Read 5 tweets
Marcus Mengs Profile picture
30 May
Wenn ich Aussagen wie diese des LfDI BaWü, Stefan Brink, lesen muss, dann Zweifel ich tatsächlich am Nutzen der Aufsichtsbehörden.

Es werden Problemstellungen nicht verstanden, die den Datenschutz betreffen und man stützt sich zur Bewertung vollständig auf Herstelleraussagen Image
Referenz
rnz.de/politik/suedwe…
@alvar_f vielleicht solltet ihr mal eine Beschwerde gegen Microsoft führen, weil Excel Formeln verarbeitet... die freuen sich bestimmt von dieser "lange nicht geschlossenen Sicherheitslücke" zu hören.
Read 5 tweets
Marcus Mengs Profile picture
19 May
@alvar_f @juergen34 @da_mister_e @UlrichKelber Nur leider steht da vieles mit wenig Wert. Das letzte mal als ihr mit dem (mittlerweile überholtem) Dokument argumentieren wolltet, hatte ich noch bis Seite 9 gelesen, die ausführt, dass hier nur Papierlage geprüft wurde (Dokumentation des Herstellers 🤣). Heute reicht Seite 2...
@alvar_f @juergen34 @da_mister_e @UlrichKelber auf der ihr behauptet Kontaktdaten seien Ende-zu-Ende verschlüsselt. Mag sein, dass zum Erstellungszeitpunkt nicht klar war, dass das nicht stimmt (auch wenn es in der Herstellerdokumentation schon im März nicht so dargestellt wurde). Mittlerweile ist dies auch in belegten...
@alvar_f @juergen34 @da_mister_e @UlrichKelber Sicherheitslücken genutzt und demonstriert worden. Das Papier liest sich wie eine Werbebroschüre und hält dabei Versprechen aufrecht, bei denen sogar der Entwickler zurückstecken musste.

Da ist eine MS365 Diskussionen natürlich einfacher, denn dort gibt es Alternativen ...
Read 11 tweets
Marcus Mengs Profile picture
12 Apr
Heute Gelegenheit gehabt, die #LucaApp auch mal auf ein Testgerät zu installieren, statt nur in Code und Konzepte zu schauen.

Die SMS TAN Verification lässt sich auch für die Android App umgehen, da Client-seitig realisiert 😒

Demo:
Was mir auch überhaupt nicht gefällt:

Die User-IP fällt am Server zwangsläufig ab, aber hier erzwingt man für jeden HTTP request noch einen UserAgent header mit:
- Android SDK Version
- Geräte Hersteller
- Geräte Typ

Das sind DREI unnötige Classifier für device fingerprints Image
Kurze Illustration zu Classifiern die von 3rd party trackern genutzt werden, um Geräte möglichst eindeutig zu (wenn z.B. unique identifier nicht mehr nutzbar sind).

... hätte nicht gedacht, dass die Animation bei einer solchen Software passen würde:
Read 4 tweets
Marcus Mengs Profile picture
5 Apr
Meine Tweets zu der #LucaApp wurden in den vergangenen Tagen gehäuft mit emotional aufgeheizten Aussagen gemischt, in Teilen auch mit technischen Schwachsinn den einige so on die Heide hauen.

Hier ein paar Klarstellungen:

Es ist mir ziemlich egal von wem digitale Covid ...
Tracing Lösungen beworben werden (schließt auch @lesmoureal ein, dessen Umgang mit kritischen Äußerungen ich dennoch nicht mag).

Luca verfolgt ein anderes Ziel als CWA und nutzt dafür einen zentralen Ansatz. Auch das mag ich nicht, weil es zusätzliche Risiken birgt.
Das SiKo von Luca ist nicht schlecht, wenn man es auf die definierten "Objectives" beschränkt betrachtet (man hat sich hier Mühe gegeben), dennoch reicht das nicht.

Einige begründende Beispiele:

Das Luca backend ist als eine Art Daten Treuhänder zu sehen. Es wurden auch ...
Read 23 tweets
Marcus Mengs Profile picture
12 Jan
Okay, doing my first baby steps with r2frida (which combines the power of @radareorg and @fridadotre).

Gonna share my progress in this thread (live, so keep calm).

The goal: Runtime inspection of data sent out by TikTok !!before!! it gets encrypted

1/many
First of all, we do not start from zero. I got some prior knowledge from past reversing attempts and want to share some important facts.

TikTok's (log data) encryption is accomplished by a native library. The Android Java code just serves as proxy function to the native function
The decompiled code for the respective native JNI function of an older TikTok version looks something like this, but in this example I use the most current TT version (no statical analysis done, yet)
Read 62 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @mame82 has new unrolls!

Check out other threads from @mame82!

Read all threads by @mame82

:(