Standpunkt

Stand­punkt: Luca App

Zusammenfassung

War­tet bit­te auf die kom­men­de Ver­si­on der Coro­na-App des Bun­des und benutzt dann die­se, wenn ihr nicht irgend­wann in der Zei­tung lesen wollt, dass die Luca-App ganz über­ra­schend kom­pro­mit­tiert wor­den ist und Eure Daten irgend­wo im Inter­net ver­kauft werden

Die Kon­takt-Nach­ver­fol­gung ist eines der effek­tivs­ten Mit­tel, wenn eine Infek­ti­ons­ket­te unter­bro­chen wer­den soll. In der der­zeit herr­schen­den Pan­de­mie kann eine Locke­rung der Lock­down-Maß­nah­men nur dann erfol­gen, wenn neben den Imp­fun­gen auch eine schnel­le und gut hand­hab­ba­re Nach­ver­fol­gung der Kon­tak­te mög­lich ist. Muss­ten wir uns im letz­ten Jahr noch mit aus­zu­fül­len­den Zet­teln im Eis­ca­fé behel­fen, soll jetzt alles mit der Luca App gut wer­den. So den­ken zumin­dest die Ent­schei­der in den Bun­des­län­dern und haben ange­fan­gen, die Luca App groß­flä­chig zu lizen­zie­ren. Alles wird also gut, oder?

Open Source

Ein wenig gezwei­felt am Kon­zept und den Ent­wick­lern haben eini­ge schon eine gan­ze Wei­le, aber mit der Ver­öf­fent­li­chung des Quell­codes des Pro­jekts in der ver­gan­ge­nen Woche wur­den lei­der die Befürch­tun­gen bestä­tigt. Dass die Ent­wick­ler sich ihre Lösung zum gro­ßen Teil ein­fach aus vor­han­de­nen Open-Source-Quel­len zusam­men kopiert haben (Coro­na-Warn-App: Macher bedie­nen sich an frei­er Soft­ware) — geschenkt. Dass sie beim Kopie­ren recht frei mit den zugrun­de lie­gen­den Lizen­zen umge­gan­gen sind, schon ärger­li­cher. So muss­te die Luca ‑Lizenz vom Her­stel­ler in der ver­gan­ge­nen Woche mehr­fach ange­passt wer­den, um even­tu­el­len Rechts­strei­tig­kei­ten aus dem Weg zu gehen. Das hier aus zusam­men­ko­pier­ten Open-Source-Quel­len meh­re­re Mil­lio­nen Euro Umsatz gene­riert wor­den ist, da beginnt es schon frech zu wer­den. Gro­ße Tei­le des Inter­nets und der heu­ti­gen Infra­struk­tur bestehen aus sau­ber lizen­zier­ten Open-Source Kom­po­nen­ten (Linux, Apa­che, MariaDB, Libre Office, Wor­d­Press etc.), und Ent­wick­ler müs­sen dar­auf ver­trau­en kön­nen, dass ihre Rech­te gewahrt bleiben.

Sicher­heit

Inzwi­schen stellt sich immer mehr her­aus, dass das kom­plet­te Kon­zept der Luca-App nicht beson­ders sicher ist. Einer der Bau­stei­ne sind die Schlüs­sel­an­hän­ger, die für Benut­zer ver­teilt wer­den sol­len, die kei­ne Mög­lich­keit haben, die App zu benut­zen. Hier scheint ein rie­sen­gro­ßes, offe­nes Scheu­nen­tor ver­steckt zu sein, denn die­se las­sen sich anschei­nend kom­plett ohne Regis­trie­rung ver­wen­den. Dadurch ist die­se Opti­on als nicht mehr benutz­bar anzu­se­hen. Wenn nun aber “Off­liner” die App nicht mehr benut­zen kön­nen, weil die Veri­fi­zie­rung nicht sicher ist, dann ist das kom­plet­te Kon­zept hin­fäl­lig, weil es kei­ne Voll­stän­dig­keit sicher­stel­len kann. Auch das, was bis­her von dem ver­wen­de­ten Backend, dem Ser­ver bekannt ist, scheint sehr pro­blem­be­haf­tet für solch ein Pro­jekt zu sein.

Durch unbrauch­ba­re Schutz­me­cha­nis­men gegen Bru­tefor­ce­an­grif­fe, die inzwi­schen auf­ge­deckt und doku­men­tiert wer­den, macht sich auch die ver­wen­de­te Ser­ver­soft­ware unnö­tig angreif­bar. Auch das zeigt, dass hier die ein­fachs­ten Regeln der Soft­ware­ent­wick­lung (z.B. beim Ver­gleich von Zei­chen­ket­ten erst ein­mal bei­de Tei­le auf Upper- oder Lower­ca­se zu for­ma­tie­ren) nicht beach­tet wor­den sind.

Das ist für sich gese­hen nur ein klei­ner, schnell zu behe­ben­der Feh­ler, aller­dings macht die Sum­me die­ser klei­nen Flüch­tig­keits­feh­ler deut­lich, mit wie wenig Sorg­falt hier ent­wi­ckelt und frei­ge­ge­ben wor­den ist.

Daten­schutz

Aber auch der Daten­schutz scheint hier eher so halb­sei­den umge­setzt wor­den zu sein, gibt es doch noch kei­ne Daten­schutz­fol­gen­ab­schät­zung. Wie die Lan­des­da­ten­schutz­be­hör­den zu der Auf­fas­sung gekom­men sind, dass der Ein­satz die­ser App beden­ken­los erfol­gen kann, erschließt sich uns hier jetzt nicht mehr. Anschei­nend ist hier sei­tens der Län­der mas­si­ver Druck aus­ge­übt worden.

Hin­zu kommt, dass die offi­zi­el­le Coro­na-App des Bun­des in Kür­ze ein Update erhal­ten wird, dass genau das Ein- und Aus­che­cken per zwei­di­men­sio­na­len Bar­code ( QR Code) erlau­ben wird. Wir emp­feh­len daher drin­gend, die Luca-App nicht ein­zu­set­zen. War­tet bit­te auf die kom­men­de Ver­si­on der Coro­na-App des Bun­des und benutzt dann die­se, wenn ihr nicht irgend­wann in der Zei­tung lesen wollt, dass die Luca-App ganz über­ra­schend kom­pro­mit­tiert wor­den ist und Eure Daten irgend­wo im Inter­net ver­kauft werden.

Tech­nik

Und für die­je­ni­gen, die Pro­gram­mie­ren kön­nen, hier ein Schman­kerl aus dem Sourcecode:

Eine E‑Mailadresse ist also genau dann vali­de, wenn sie mehr als 3 Zei­chen und ein “@” ent­hält.  Dass sie eben­falls min­des­tens einen “.” ent­hal­ten muss, um gül­tig zu sein und auch eine Adres­se in der Form “a@bc” hier gül­tig wäre — Ok, ist uns allen (Pro­gram­mie­rern) auch schon pas­siert. Aber ist das ein Zei­chen von Qua­li­tät der Software?

Auch die ver­wen­de­ten QR-Codes las­sen sich ein­fach mit einem Script unter Linux fälschen:

D.h., es wird nicht mehr lan­ge dau­ern, bis das jemand in ein Pro­gramm ein­bet­tet, dass es jedem Benut­zer erlau­ben wird, einen gefälsch­ten QR zu erzeu­gen und damit die Nach­ver­fol­gung auszutricksen. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.