Share this page!

Enter URL or ID to Unroll

You can paste full URL like: https://x.com/threadreaderapp/status/1644127596119195649
or just the ID like: 1644127596119195649

How to get URL link on X (Twitter) App

  1. On the Twitter thread, click on or icon on the bottom
  2. Click again on or Share Via icon
  3. Click on Copy Link to Tweet
  4. Paste it above and click "Unroll Thread"!
  5. More info at Twitter Help
Marcus Mengs Profile picture
Marcus Mengs
@mame82
creator of P4wnP1, P4wnP1 A.L.O.A. and LOGITacker | @mame82@infosec.exchange on mastodon
Jul 27, 2022 9 tweets 3 min read
@RoganDawes:
just fixed some compilation errors for "community_nrf52_arduino" (wrong atomic declaration, missing 'utoa' definition).

Now that code compiles, I can't flash a pca10059 (nordic nrf52840 dongle) from Arduino IDE.

Further assumed this requires ... ... an Arduino bootloader on the board.

Overwriting the Nordic BL would have to be done with an external programmer.

When I try to find out if this is really necessary, I noticed that you, Rogan, was working on the topic (as most if the times)

github.com/adafruit/Adafr…
Jul 25, 2022 6 tweets 3 min read
Daughter asked for a toy pet.

Me started buying servos, turn computer on after months and printed parts.

@PetoiCamp stuff got me excited... should have kept away from this, feels like very long journey ahead @PetoiCamp using arduino setup (currently only gyro, eeprom and pca9685 + 4x AAA battery) + current OpenCat with slight adjustments for MG90S servos.

Am I right, that some servos going to "0 position" in the middle of movement means lack of current or ...
Nov 2, 2021 6 tweets 2 min read
You want to know what the Facebook app sends home?

Let's look into 1 out of many GraphQL requests ("LocationUpdateMutation" serves as example)

The excerpt of the full request is hard to read, so let's get into some details...

1/n 1) Top-level message object, contains device identifiers and stats.

Pay attention on the empty "scan_result" and "connected" array under "cell_info" ... this likely would be filled, if my test device would have a mobile connection (operator info is included, anyways)

2/n
Oct 27, 2021 8 tweets 4 min read
Habe Gestern (schockiert) den Beitrag von @zerforschung zu der @scoolio_ app gelesen.

Hatte noch Fragen zu 3rd-party data sharing und deshalb nochmal drauf geschaut.

Vor der Registrierung werden scheinbar nur die "üblichen" Daten an 3rd party services gesendet, aber... ...das liegt daran, dass die mit AppsFlyer ausgetauschten Daten nochmals verschlüsselt sind. Öffnet man die, sieht das ganze schon wie folgt aus (2. Bild: exemplarische Daten EINES AppsFlyer events von Scoolio)

PS: die Facebook Attr ID gab's schon einmal letzten Tweet

...
Oct 26, 2021 4 tweets 2 min read
Thx @oleavr for the tip to run @fridadotre onetime Android system-level tasks inside 'system_server'.

Example: collect per-app AndroidIDs

1) Agent (TypeScript)
2) App excerpt (calls function of compiled agent in 'system_server' once device connects and detaches)
3) App output For this use-case alone, it is a big time-saver.

Previous approach:
Monitor 'Binder' (native) or 'android.provider.Settings$Secure' (Java) for AndroidID retrieval **for each process of relevance** (lots of processing overhead).
Aug 7, 2021 13 tweets 6 min read
Um Klarheit zu schaffen ob/wie die #LucaApp Nutzer warnt, habe ich eine Abfrage eines Locationbesuches durch "Gesundheitsamt Saalfeld-Rudolstadt" gespooft:

1) Popup Notification
2) !!generische!! Abfragebenachrichtigung
3) Info welches GA welche Location abgefragt hat (gepixelt) ImageImageImage Es gibt keine spezifische Warnung über Infektionsrelevanten Kontakten, noch eine ereignisspezifische Nachricht vom Gesundheitsamt INNERHALB der #LucaApp (da kein Rückkanal zum Nutzer existiert).

Alles weitere (so nötig) muss MANUELL durch Direktkommunikation mit GA erfolgen.
Jul 21, 2021 5 tweets 3 min read
#LucaApp PR vs Reality #LucaApp PR vs Reality #2
Jul 16, 2021 5 tweets 3 min read
@markus_bublitz @coronawarnapp Eine Gegendarstellung zu den Aussagen vom "Galaxy Georgsheil" vom Gesundheitsamt Aurich wäre hier profunder.

Vielleicht wird zu gegebener Zeit existieren eine veröffentlicht, jetzt hat man dort sicher besseres zu tun. @markus_bublitz @coronawarnapp Verantwortlich für die Bereitstellung korrekter und vollständiger Kontaktdaten ist ja sicher nicht das Luca-Fachsystem, sondern der Veranstalter ... oder irre ich da?
Jul 3, 2021 6 tweets 3 min read
Me: #LucaApp Kontaktdaten und Checkins können eindeutig zu Smartphones zugeordnet werden.

Hersteller: Nö, höchstens unter "Laborbedingungen".

Me: No, wurde an Production System belegt.

Hersteller: Wenn du die App Nutzung einstellst, löschen wir zugeordnete Kontaktdaten

🤪🤯 ImageImage Ernsthaft: Unzählige Nutzer haben die App (wegen Fehlern) mehrfach neuinstalliert und dabei jedes Mal einen neuen Account angelegt.

Wie wurden die verschlüsselten Kontaktdaten denn zugeordnet, um sie zu löschen?

Immerhin gibt es ja jetzt einen "löschen" Button in der App
Jun 29, 2021 26 tweets 57 min read
@gnirbel @markus_bublitz @cccfr @patrick_hennig @alvar_f @HonkHase @LoeweHeinz @AllenRe97883617 @BergerPhilipp @_lucaApp Ich greife die Aussagen gerne auf, weil hier (wie so oft) Fakten vermischt und in teilen falsch dargestellt werden.

Zunächst diese:
@gnirbel @markus_bublitz @cccfr @patrick_hennig @alvar_f @HonkHase @LoeweHeinz @AllenRe97883617 @BergerPhilipp @_lucaApp Die Aussagen beziehen sich auf den Fakt, dass ein Beobachter des Netzwerkverkehrs am Backend (Angreifer, Innentäter, Intermediaries mit Logging Funktionalität) die im Bild gezeigten Ableitungen treffen kann.
Verschlüsselte Daten haben hierbei keine Relevanz!
Jun 29, 2021 8 tweets 15 min read
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp Ah, Risk-Management und -Analysis. ... eine bessere Basis!

Du lenkst den Fokus damit auf abstrakte Risiken, wie Infiltration des Systems durch Angreifer oder Missbrauch durch Innentäter.

Das gute: auch solche Risiken müssen qunatifiziert werden ... @alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp ... insbesondere da der Schutzbedarf für alle Schutzziele mindestens "HOCH" sein dürfte (wir kennen ja das SiKo nicht).

Möchtest du solche Risiken bewerten, betrachtest du zunächst mal die Eintrittswahrscheinlichkeit. Die dürfte im Falle "luca" für erfolgreiche Angriffe ...
Jun 27, 2021 6 tweets 11 min read
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp Ja wenn man ihn nicht im Kontext der Möglichkeiten betrachtet, die er hier eröffnet, mag das sogar vertretbar sein.

Es ist aber auch einer der Belege dafür, dass die vorliegenden Bewertungen der Datenschützer "irrelevant" sind, wenn man wissen möchte, ob ... @alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp ... das System "luca" geeignete Maßnahmen ansetzt, um die zu verarbeitenden Daten zu schützen (oder es vielleicht wenigstens schafft die wenigen selbst definierten "security objectives" zu erfüllen)!
Jun 27, 2021 13 tweets 23 min read
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp Und ich werde auch keine Kryptoanalyse schreiben ... nicht nur weil ich kein Kryptologe bin, sondern weil der Großteil der relevanten Informationen UNVERSCHLÜSSELT am Backend anfallen. @alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp Bekannt und korrelierbar sind Telefonnummer, Checkinhistorie, Abfragestatus Gesundheitsamt der Systemteilnehmer.

Die einzigen Informationen die das Backend nicht ohne weiteres lernen kann, sind die nicht anderweitig bekanntgewordenen Kontaktdatenanteile (Name, Adresse).
Jun 25, 2021 4 tweets 2 min read
Okay, das #LucaApp Thema verfolgt mich.

Erkenntnis: Auch in Bayern versagen die Datenschützer, hab die Details unter den Thread von @kcotsneb gepackt.

... Wiederhole mich aber nur noch sinnlos. Der BayLDA ist sicher nicht blind, schaut aber in die falsche Richtung. @HonkHase

Ich würde es so beschreiben:

Du bist Datenschützer, hast dich aber entschlossen Sicherheitsmängel im #LucaApp Quellcode zu suchen. Leider übersiehst du dabei die Datenschutzmängel (die schon belegt wurden) und kannst auch die Sicherheitsmängel nicht finden.
👍
Jun 25, 2021 4 tweets 2 min read
@kcotsneb Und nochmal versagt der Datenschutz an der #LucaApp

LDA Bayern findet keine Sicherheitsmängel (wurden extern gefunden und zeitgleich veröffentlicht, ist ja auch keine Kernkompetenz LDA).

Immerhin: Man untersuchte ob Betreiber Daten entschlüsseln kann ("Klardaten"). Image @kcotsneb Das Traurige:

Die Erkenntnisse aus dem Bild unten kann der Betreiber gewinnen, OHNE AUCH NUR ZU VERSUCHEN AN "Klardaten" ZU KOMMEN ... ganz nebenbei ... Design-bedingt. Image
Jun 25, 2021 17 tweets 6 min read
@IngoPan Berechtigte Frage! Let me try:

Luca garantiert den Gesundheitsämtern "verwertbare" Kontaktdaten (wesentliches Merkmal). Die Plausibilitätsprüfung der Kontaktdaten beschränkt sich allerdings auf die Telefonnummer, welche ein Gast angibt (SMS Verifikation).

1/n @IngoPan Diese Plausibilitätsprüfung lässt sich aber umgehen, so dass Nutzer mit beliebigen Telefonnummern (und weiteren Kontaktdaten) angelegt werden können (auch mehrfach, mit gleichen Kontaktdaten und Telefonnummer).

Damit ist zunächst die Integrität nicht mehr gewährleistet.

2/n
Jun 15, 2021 5 tweets 2 min read
Schön erklärt von @lesmoureal:

Die #CWA kann Impfzertifikate fremder Personen scannen (wie Foto von fremden Impfbuch: Bist trotzdem nicht Du!)

Was die Tech-Community schon wusste, erklärt er auch:

#LucaApp nutzt Impfzertifikate, um endlich Deine Kontaktdaten zu verifizieren Warum wird das gemacht?

Weil die #LucaApp bis Heute das Werbeversprechen nicht einlösen konnte, dass den Gesundheitsämtern valide Nutzerdaten geliefert werden. So ist bspw die Telefonnummern-Verifikation über SMS nicht funktional (vergleiche CVE-2021-33840)
May 30, 2021 5 tweets 2 min read
Wenn ich Aussagen wie diese des LfDI BaWü, Stefan Brink, lesen muss, dann Zweifel ich tatsächlich am Nutzen der Aufsichtsbehörden.

Es werden Problemstellungen nicht verstanden, die den Datenschutz betreffen und man stützt sich zur Bewertung vollständig auf Herstelleraussagen Image Referenz
rnz.de/politik/suedwe…
May 19, 2021 11 tweets 11 min read
@alvar_f @juergen34 @da_mister_e @UlrichKelber Nur leider steht da vieles mit wenig Wert. Das letzte mal als ihr mit dem (mittlerweile überholtem) Dokument argumentieren wolltet, hatte ich noch bis Seite 9 gelesen, die ausführt, dass hier nur Papierlage geprüft wurde (Dokumentation des Herstellers 🤣). Heute reicht Seite 2... @alvar_f @juergen34 @da_mister_e @UlrichKelber auf der ihr behauptet Kontaktdaten seien Ende-zu-Ende verschlüsselt. Mag sein, dass zum Erstellungszeitpunkt nicht klar war, dass das nicht stimmt (auch wenn es in der Herstellerdokumentation schon im März nicht so dargestellt wurde). Mittlerweile ist dies auch in belegten...
Apr 12, 2021 4 tweets 2 min read
Heute Gelegenheit gehabt, die #LucaApp auch mal auf ein Testgerät zu installieren, statt nur in Code und Konzepte zu schauen.

Die SMS TAN Verification lässt sich auch für die Android App umgehen, da Client-seitig realisiert 😒

Demo:
Was mir auch überhaupt nicht gefällt:

Die User-IP fällt am Server zwangsläufig ab, aber hier erzwingt man für jeden HTTP request noch einen UserAgent header mit:
- Android SDK Version
- Geräte Hersteller
- Geräte Typ

Das sind DREI unnötige Classifier für device fingerprints Image
Apr 5, 2021 23 tweets 4 min read
Meine Tweets zu der #LucaApp wurden in den vergangenen Tagen gehäuft mit emotional aufgeheizten Aussagen gemischt, in Teilen auch mit technischen Schwachsinn den einige so on die Heide hauen.

Hier ein paar Klarstellungen:

Es ist mir ziemlich egal von wem digitale Covid ... Tracing Lösungen beworben werden (schließt auch @lesmoureal ein, dessen Umgang mit kritischen Äußerungen ich dennoch nicht mag).

Luca verfolgt ein anderes Ziel als CWA und nutzt dafür einen zentralen Ansatz. Auch das mag ich nicht, weil es zusätzliche Risiken birgt.