News Luca-App: BSI hält Angriffs-Szenario per Code-Injection für plausibel

[Stefan1200]

@snaxilian

Na und? Sie kennen dann meinen Namen, meine Adresse und den Ort an dem ich war. Wenn eine Crack-Selbsthilfegruppe LUCA anbietet, selbst schuld. Aber das Restaurant, Kino, Einzelhandel um die Ecke? Mir doch egal. Sollen sie halt wissen dass ich bei Saturn einkaufe, bei Pasta XY esse. Was solls?

Zumal die luca App auch wunderbar ohne Standort Berechtigungen funktioniert. So habe ich nur die Kamera Berechtigungen erlaubt, um die QR Codes scannen zu können. Muss man halt selbst dran denken beim Verlassen des Restaurants / Laden den "Check Out" Button zu drücken.

 

[SIR_Thomas_TMC]

@AppZ Würde ich jetzt erstmal nicht wollen, aber das soll/darf und kann jeder selbst entscheiden. Aber immerhin weiß Amazon und google auch viel mehr über mich, als sie bräuchten. Nutze ich tortzdem, aus Bequemlichkeit. Wahrscheinlich würde ich das auch mit der luca App machen, die hat für mich aktuell halt keinen Mehrwert, da ich momentan (noch) nirgendwo hin kann. Oder nur Test in nem Testzentrum davor, da hab ich aber keine Lust drauf (Selbsttest wäre für mich ok).

Trotzdem ist es ganz gut, dass der Datenschutz in Deutschland auch einen Wert hat (mal abgesehen vom DSGVO-Krampf, für die eigentliche Zielgruppe Großunternehmen ist das ja ok, der Rest ist mal wieder übergründlich und bürokratisch).

 

[ZeT]

Das Schweigen der Landesregierungen

Das Schweigen der Länder... würde einen guten Filmtitel abgeben. ^^

Ich hab die App auch nicht installiert. Wozu auch... ich warte mal ab ob ich irgendwann mal ne Impfung bekomme. Jetzt ist ja erstmal das Wahlvieh dran das die mit ihren Kindern schön brav wählen äääääh Urlaub fahren können.

 

[snaxilian]

denn das man dort keine Excel mit Makro aufmacht, sollten man dort wissen

DAS ist aber bereits eine Fehlannahme, die Trefoil80 auch trifft.
Die aufgezeigte Lücke bedient sich nicht irgendwelcher Makros. In der Injection war kein Makro, kein VB-Script, kein VBA oder ähnliches.
Es war eine Formel. Man hätte Excel also die Kernfunktionalität entziehen müssen: Dem anwenden von Formeln.
Natürlich kann man jetzt dem einzelnen Mitarbeiter Unfähigkeit vorwerfen oder Unachtsamkeit aber ruft ihr bei jeder Warnung und Fehlermeldung von Excel, Word oder Outlook erstmal die IT eurer Firma an und lasst das klären? Der durchschnittliche Anwender wird's leider weg klicken und schließlich hat doch der Betreiber von Luca immer gesagt von denen kommen sichere Daten und man könne denen vertrauen.

ohne Papierkram, kein Freizeitvergnügen

Es gibt Apps, die den Papierkram deutlich besser erledigen als Luca, die haben nur keinen reichen gelangweilten und bekannten Wicht wie Smudo der die Werbetrommel rührt und Falschaussagen verbreitet.

selbst schuld

Nope, denn nicht die Gruppe "bietet" es an, sondern der Ort. Anhand der Lokalität und des Zeitraums und deinem CheckIn, weil notwendig, kann man den Rückschluss ziehen: Du warst bei den anon-Cracks, wirst wohl selbst einer gewesen sein.
Oder du hast in der Praxis des örtlichen Onkologen regelmäßig eingecheckt. Hmm scheinst ja vielleicht Krebs zu haben.
@Stefan1200 Selbst ohne Standortfreigabe in der App ist nachvollziehbar, wo du dich aufgehalten hast, da jede Location ein fester Standort ist. Außer so "glorreiche" Locations wie $ÖPNV und mal Hand aufs Herz: Wer denkt bei jeder Location immer(!) daran, rechtzeitig manuell auszuchecken?
Es gibt ja auch mehr als eine Fake-App mit der zufälliger Datenmüll beim CheckIn übertragen wird. Der Betreiber einer Lokalität hat keine Möglichkeit dies zu verifizieren. Generell hat es Luca nicht so mit dem verifizieren... Da war doch was mit der SMS "Verifikation". Ach egal wo man bei der App hinguckt, blubbert es komisch. Naja nicht nur bei der App, bei deren Konzept ja auch, die Schlüsselanhänger haben ja auch so ihre Problemchen wie man liest^^

Die ganze Diskussion ist doch auch hinfällig aber war ein schönes Manöver wenn man lieber darüber diskutieren konnte. Es ging dann ja um die "Öffnungsstrategie" und die doofen und blöden Nerds immer mit ihrer IT-Sicherheit und Datenschutz sind ja nur im Weg. Hat halt so von der Unfähigkeit und nicht vorhandenen Einigkeit der Politik bei der Bekämpfung der dritten Welle und der immensen (anhaltenden) Belastung des medizinischen Personals abgelenkt.
Wenn die Zahlen weiter so sinken ist eine Kontaktverfolgung in vielen Stellen nicht unbedingt notwendig und was bleibt dann übrig? Eine technisch desolate App, die niemand nutzen braucht aber der Steuerzahler hat >20 Mio dafür verbrannt. Glückwunsch aber das Geld wäre vermutlich an vielen anderen Stellen mittel- und langfristig besser investiert gewesen...

@ZeT Du meinst das Wahlvieh mit den erwachsenen Kindern, korrekt? Wenn man nicht in Prio 2/3 fällt aus gesundheitlichen Gründen, sind der überwiegende Teil der aktuell vollständig geimpften 60+, vermutlich eher 70+. Die haben zwar auch Kinder aber in der Regel sind diese dann erwachsen und fahren nicht gemeinsam mit den Eltern in den Urlaub, also zumindest die Mehrheit von denen^^

 

[AppZ]

@snaxilian
Sag ich doch. Keine schützenswerte Gruppe wird Luca anbieten. Also kein problem.

 

[ZeT]

@ZeT Du meinst das Wahlvieh mit den erwachsenen Kindern, korrekt? Wenn man nicht in Prio 2/3 fällt aus gesundheitlichen Gründen, sind der überwiegende Teil der aktuell vollständig geimpften 60+, vermutlich eher 70+. Die haben zwar auch Kinder aber in der Regel sind diese dann erwachsen und fahren nicht gemeinsam mit den Eltern in den Urlaub, also zumindest die Mehrheit von denen^^

Ach normale Eltern sind auch schon geimpft. Und mit der Abschaffung der Prio wird genau das erreicht. Die dürfen im Sommer mit ihren Kids in den Urlaub fahren.

 

[SIR_Thomas_TMC]

DAS ist aber bereits eine Fehlannahme, die Trefoil80 auch trifft.
Die aufgezeigte Lücke bedient sich nicht irgendwelcher Makros. In der Injection war kein Makro, kein VB-Script, kein VBA oder ähnliches.
Es war eine Formel. Man hätte Excel also die Kernfunktionalität entziehen müssen: Dem anwenden von Formeln.

Danke für die Erklärung, war mir nicht bekannt. Wäre eigentlich dasselbe Problem vorhanden, wenn ich dem Amt ein genauso präpriertes Excel schicken würde?

Es gibt Apps, die den Papierkram deutlich besser erledigen als Luca, die haben nur keinen reichen gelangweilten und bekannten Wicht wie Smudo der die Werbetrommel rührt und Falschaussagen verbreitet.

Die wären dann konkret welche?
Mit dem Smudo hast du es aber nun, irgendwie?

Ergänzung (28. Mai 2021)

Ach normale Eltern sind auch schon geimpft. Und mit der Abschaffung der Prio wird genau das erreicht. Die dürfen im Sommer mit ihren Kids in den Urlaub fahren.

Unsinn.

 

[areiland]

Wenn man nicht in Prio 2/3 fällt aus gesundheitlichen Gründen, sind der überwiegende Teil der aktuell vollständig geimpften 60+, vermutlich eher 70+.

Aber nur wenn die sich alle weigern auch mit Astra Zeneca geimpft zu werden. Ich gehöre keiner Prio-Gruppe an und wurde am 14. mit AZ geimpft, einfach weil ich mich zeitnah beim Hausarzt auf seine Warteliste habe setzen lassen und er mir nach Freigabe von AZ für alle die Impfung anbieten konnte. Das grösste Problem ist nämlich nach wie vor, dass viele immer noch arge Vorbehalte gegen dieses Vakzin haben.

 

[SIR_Thomas_TMC]

Aber nur wenn die sich alle weigern auch mit Astra Zeneca geimpft zu werden. Ich gehöre keiner Prio-Gruppe an und wurde am 14. mit AZ geimpft, einfach weil ich mich zeitnah beim Hausarzt auf seine Warteliste habe setzen lassen und er mir nach Freigabe von AZ für alle die Impfung anbieten konnte. Das grösste Problem ist nämlich nach wie vor, dass viele immer noch arge Vorbehalte gegen dieses Vakzin haben.

Hier, ich nehm ne Runde.

 

[Stefan1200]

@Stefan1200 Selbst ohne Standortfreigabe in der App ist nachvollziehbar, wo du dich aufgehalten hast, da jede Location ein fester Standort ist. Außer so "glorreiche" Locations wie $ÖPNV und mal Hand aufs Herz: Wer denkt bei jeder Location immer(!) daran, rechtzeitig manuell auszuchecken?

Aber ja nur da, wo ich mich auch eingecheckt habe. Ich nutze die Luca App vielleicht alle 4 Wochen einmal. Dann weiß die App halt, dass ich in dem Restaurant essen war. 95% der Geschäfte, die ich besuche, benötigen keine Adresse oder Luca Checkin von mir (da Supermarkt oder Geschäfte mit einem gewissen Lebensmittelanteil). Und dann denke ich schon an den Checkout. Und wenn nicht, ist es halt Pech...dann weiß die App ja trotzdem nicht, wo ich nach dem eigentlichen Checkout war.

 

[Zeitzeuge]

Bei der ganzen Diskussion vermisse ich eines :
Arbeitet eigentlich jemand von euch und zahlt Steuern?
Wie kann es sein, dass der Bodensatz unserer Gesellschaft mit nicht von ihnen hart erarbeiteten Steuergeldern so umgeht?
Komisch, dass m.M.n. diese Art der Veruntreuung überhaupt keinen interessiert?

 

[SIR_Thomas_TMC]

Komisch, dass m.M.n. diese Art der Veruntreuung überhaupt keinen interessiert?

Doch, siehe https://www.computerbase.de/forum/t...njection-fuer-plausibel.2025190/post-25682990
https://www.computerbase.de/forum/t...njection-fuer-plausibel.2025190/post-25683095
...

Der Rest von deinem Post war irgendwie nur Bodensatz.

 

[snaxilian]

Wäre eigentlich dasselbe Problem vorhanden, wenn ich dem Amt ein genauso präpriertes Excel schicken würde?

Keine Ahnung. Kommt drauf an ob von außen kommende Exceldokumente behandelt werden oder nicht. Wenn du eine entsprechende CSV Datei präparierst und übermittelst, dürfte der Fehler auch auftreten nehme ich an.

Die wären dann konkret welche?

Notify-Me oder Recover fallen mir da spontan ein.
Smudo stellt sich halt als Gallionsfigur vorne hin, dann muss er auch damit leben, den berechtigten und fundierten Gegenwind abzubekommen. 🤷‍♂️

Ach normale Eltern sind auch schon geimpft

Stand gestern ist der Anteil der vollständig geimpften Personen <60 Jahren unter 10%. Anteil der vollständig geimpften Gesamtbevölkerung liegt bei 16,4% und das ist weit entfernt von sorgenlosem Urlaub.
Wer sich selbst überzeugen will: "RKI Impfquotenmonitoring" in eine Suchmaschine eingeben. Achtung: Exceldatei. 🤣
Klar werden viele in den Urlaub fahren aber je nach geplanter Art des Urlaubs muss das Risiko jeder für sich entscheiden.
Nur weil die Prio weg fallen soll ist ja nicht magisch mehr Impfstoff vorhanden. Es bemühen sich also dann bald deutlich mehr Leute um die gleiche Menge Impfung. Schneller wird es dadurch nicht, zumal die Liefermenge von BioNTech für Juni reduziert wurde. In manchen Städten (Köln beispielsweise) im Juni deshalb kaum bis keine weiteren Erstimpfungen stattfinden werden sondern nur Zweitimpfungen...

Keine schützenswerte Gruppe wird Luca anbieten

Die Probleme sind der Location vielleicht nicht bewusst und für den Betreiber ist es einfacher. Also bietet er es an. Klar, wer sein Handy nicht dabei hat, bekommt nen Zettel oder der Veranstalter legt ein Tablet hin, so sich jeder eintragen soll/muss und schon sind deine Daten da drin.

@areiland Korrekt, wenn man dem Hausarzt etc. auf den Keks geht kann man AZ bekommen. Manche Ärzte impfen trotzdem damit nur Männer bzw. nur Frauen +60 und/oder lehnen eine Haftung bei Frauen unter 60 ab. Afaik ist das alles aber auch wieder von Bundesland zu Bundesland unterschiedlich geregelt.

@Zeitzeuge witzig, dass du das Thema ansprichst. Viele Techis und/oder Datenschützer, die sich über Luca aufregen, zahlen Steuern und regen sich zurecht darüber auf, dass Steuergeld für solche stümperhafte Bananensoftware verballert werden soll. Ist aber auch nicht so schlimm denn bisher weiß angeblich noch niemand so genau wer wirklich dafür zahlen soll am Ende. Also klar, ganz am Ende wir Steuerzahler. Aber bis dahin findet man nur widersprüchliches... Quelle zur Erheiterung: https://fragdenstaat.de/anfrage/kosten-fur-die-luca-app/

 

[AppZ]

@snaxilian
Man kann Probleme auch herbei reden.

 

[areiland]

Korrekt, wenn man dem Hausarzt etc. auf den Keks geht kann man AZ bekommen.

Musste ich nicht. Ich hab mich lediglich auf seine Impfliste setzen lassen und bekam telefonisch das Angebot mich tags darauf mit AZ zu impfen. Meine Frau wurde von ihm mit BionTec geimpft. Sie ist allerdings vorerkrankt und arbeitet zudem auch noch in einem systemrelevanten Betrieb, weswegen sie auch im Impfzentrum geimpft worden wäre.

 

[Zeitzeuge]

Doch, siehe https://www.computerbase.de/forum/t...njection-fuer-plausibel.2025190/post-25682990
https://www.computerbase.de/forum/t...njection-fuer-plausibel.2025190/post-25683095
...

Der Rest von deinem Post war irgendwie nur Bodensatz.

Wann hatte ich ihnen das Du angeboten?
Sie gehören wohl augenscheinlich auch zu der genannten Gruppe, oder denen die es sich Basis anderer gut gehen lassen, wenn man ihre Meinung verfolgt.......?

 

[SIR_Thomas_TMC]

Wann hatte ich ihnen das Du angeboten?
Sie gehören wohl augenscheinlich auch zu der genannten Gruppe, oder denen die es sich Basis anderer gut gehen lassen, wenn man ihre Meinung verfolgt.......?

? Wie kann man denn Meinungen verfolgen? Irgendwie wirre Beiträge.

EDIT: "ihnen" ungleich "Ihnen", wenn schon, denn schon.
Und jetzt schauen wir mal, dass es nicht abdriftet, indem ich das potentielle Füttern einstelle.

 

[snaxilian]

Tjoa und @AppZ kann real existierende Probleme natürlich auch klein reden, betrifft ja nur "die anderen" und nicht einen selbst. Versuche doch nur mal kurz dich in die Situation anderer zu versetzen. Von Menschen, die einfach nicht möchten, dass die eigenen Daten wann man sich wo aufgehalten hat, ggf. noch in Bezug zu Gesundheitsdaten o.ä.. bei einer privaten Firma liegen. Da kann noch so viel von end-to-end-encryption (e2ee) labern aber wenn die Realität mehrere Punkte aufzeigt wo man e2ee angreifen kann, ist die Werbung halt nix wert. Von diesem Angriffsvektoren gibt es heute schon zwei.
1. Aktuell werden die privaten Keys der GAs von Nexenio/Luca signiert und nicht von der Bundesdruckerei bzw. deren CA. Das soll erst noch irgendwann kommen. Liest man halt nur im Kleingedruckten und suggeriert wird etwas anderes.
2. Locations sollen jetzt plötzlich ihre privaten Keys in Luca hochladen (Quelle). Also das letzte Mal, dass ich nachgesehen habe hieß es immer überall, dass eine public-key-encryption darauf vertraut, dass der private Key immer geheim gehalten wird.
Du kannst die Luca App so viel und gern verwenden wie du möchtest. Schreibst ja selbst, du nutzt es nicht durchgehend (weil man es nicht muss/braucht?) aber das ergibt dann auch nur eine unvollständige Kontaktverfolgung bei den GAs. Ob jetzt falsche oder fehlende Daten beim GA landen: Beides hilft nicht und es gibt Alternativen die technisch besser und datensparsamer umgesetzt sind.
So oder so beenden irgendwelche Apps aber keine Pandemie. Die Alternativen wollte die Politik und Lobbyverbände die am lautesten geschrieben haben halt nicht oder nur in abgeschwächter und langsamer wirkender Funktion.

@areiland Sorry, ich glaube hier haben wir aneinander vorbei geredet. Das sollte keinesfalls als Angriff rüber kommen. Jede Impfung/Immunisierung hilft und ich denke niemand sollte sich da rechtfertigen müssen.

@Zeitzeuge Selbst in den Forenregeln hier auf cb wird man ge-du-zt. Im deutschsprachigen Raum der Netiquette hat sich das 'du' einfach durch gesetzt, im englischsprachigen Raum existiert dieses "Problem" nicht einmal. Wenn Sie aber so erpicht sind auf Höflichkeit, sollten Sie dies nicht nur einfordern sondern auch anderen gegenüber zeigen. Die bisherigen Sätze klingen da schon etwas abschätzig...

 

[poly123]

Das Beste ist übrigens, deren Hotfix (von neXonio) ist ein (clientseitiges) JS fürs sanitizing (siehe Github Repo) … 🙄🤔😂🤣😁

 

[Forum-Fraggle]

Eventuell müssen wir den Luca-Bugs langsam griffige Namen geben, man verliert langsam den Überblick. D

Grins, ist es der Bug, oder der Bug? Nein in LUCA sind alle da .... Fanta 4 wußten,schon was sie verklausuliert sangen