Du bist Datenschützer, hast dich aber entschlossen Sicherheitsmängel im #LucaApp Quellcode zu suchen. Leider übersiehst du dabei die Datenschutzmängel (die schon belegt wurden) und kannst auch die Sicherheitsmängel nicht finden.
👍
Nicht das man denkt ich wäre Masochist, aber: Die Veranstaltung fand genau zwischen den Veröffentlichungen der letzten beiden Luca Schwachstellen statt und die Hersteller-Statements fände ich in diesem Kontext interessant
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Die Erkenntnisse aus dem Bild unten kann der Betreiber gewinnen, OHNE AUCH NUR ZU VERSUCHEN AN "Klardaten" ZU KOMMEN ... ganz nebenbei ... Design-bedingt.
@kcotsneb In den "Klardaten" die der Betreiber nicht (ohne Weiteres) lesen kann, stecken dann nur noch Namen und Adressen der Nutzer (deren Plausibilität vom System übrigens nicht sichergestellt wird).
Luca garantiert den Gesundheitsämtern "verwertbare" Kontaktdaten (wesentliches Merkmal). Die Plausibilitätsprüfung der Kontaktdaten beschränkt sich allerdings auf die Telefonnummer, welche ein Gast angibt (SMS Verifikation).
1/n
@IngoPan Diese Plausibilitätsprüfung lässt sich aber umgehen, so dass Nutzer mit beliebigen Telefonnummern (und weiteren Kontaktdaten) angelegt werden können (auch mehrfach, mit gleichen Kontaktdaten und Telefonnummer).
Damit ist zunächst die Integrität nicht mehr gewährleistet.
2/n
@IngoPan Jeder kann beliebige Nutzer anlegen (oder existierende Personen erneut anlegen). Wer einen Nutzer angelegt hat, kann diesen dann in beliebige Locations einchecken ... auch zeitgleich in mehrere.
Die #CWA kann Impfzertifikate fremder Personen scannen (wie Foto von fremden Impfbuch: Bist trotzdem nicht Du!)
Was die Tech-Community schon wusste, erklärt er auch:
#LucaApp nutzt Impfzertifikate, um endlich Deine Kontaktdaten zu verifizieren
Warum wird das gemacht?
Weil die #LucaApp bis Heute das Werbeversprechen nicht einlösen konnte, dass den Gesundheitsämtern valide Nutzerdaten geliefert werden. So ist bspw die Telefonnummern-Verifikation über SMS nicht funktional (vergleiche CVE-2021-33840)
Dass die #LucaApp versucht diesen Fehler über den Datenabgleich mit Impfzertifikaten zu kompensieren, führt zu weiteren Missbrauchs-Szenarien, denn:
Man kann die eigenen Luca-Kontaktdaten an ein fremdes Impfzertifikat anpassen, um dieses zu scannen...
@alvar_f vielleicht solltet ihr mal eine Beschwerde gegen Microsoft führen, weil Excel Formeln verarbeitet... die freuen sich bestimmt von dieser "lange nicht geschlossenen Sicherheitslücke" zu hören.
@alvar_f@juergen34@da_mister_e@UlrichKelber Nur leider steht da vieles mit wenig Wert. Das letzte mal als ihr mit dem (mittlerweile überholtem) Dokument argumentieren wolltet, hatte ich noch bis Seite 9 gelesen, die ausführt, dass hier nur Papierlage geprüft wurde (Dokumentation des Herstellers 🤣). Heute reicht Seite 2...
@alvar_f@juergen34@da_mister_e@UlrichKelber auf der ihr behauptet Kontaktdaten seien Ende-zu-Ende verschlüsselt. Mag sein, dass zum Erstellungszeitpunkt nicht klar war, dass das nicht stimmt (auch wenn es in der Herstellerdokumentation schon im März nicht so dargestellt wurde). Mittlerweile ist dies auch in belegten...
@alvar_f@juergen34@da_mister_e@UlrichKelber Sicherheitslücken genutzt und demonstriert worden. Das Papier liest sich wie eine Werbebroschüre und hält dabei Versprechen aufrecht, bei denen sogar der Entwickler zurückstecken musste.
Da ist eine MS365 Diskussionen natürlich einfacher, denn dort gibt es Alternativen ...
Heute Gelegenheit gehabt, die #LucaApp auch mal auf ein Testgerät zu installieren, statt nur in Code und Konzepte zu schauen.
Die SMS TAN Verification lässt sich auch für die Android App umgehen, da Client-seitig realisiert 😒
Demo:
Was mir auch überhaupt nicht gefällt:
Die User-IP fällt am Server zwangsläufig ab, aber hier erzwingt man für jeden HTTP request noch einen UserAgent header mit:
- Android SDK Version
- Geräte Hersteller
- Geräte Typ
Das sind DREI unnötige Classifier für device fingerprints
Kurze Illustration zu Classifiern die von 3rd party trackern genutzt werden, um Geräte möglichst eindeutig zu (wenn z.B. unique identifier nicht mehr nutzbar sind).
... hätte nicht gedacht, dass die Animation bei einer solchen Software passen würde: