offener Brief: Nutzung der Luca App bedenklich

Eine kurze Liste der zahlreichen Sicherheitsmängel und die Bitte den Einsatz nochmal zu überdenken.

Mitglieder des Freiburger Chaos Computer Club, haben in einem offenen Brief an das Sozialministerium Bedenken über die Nutzung der Luca App geäußert. „In den vergangenen Tagen haben nahezu täglich unterschiedliche Medienberichte und Meldungen in sozialen Medien gelesen, die auf konzeptionelle Mängel, unsaubere Programmierung des Software der Luca App und ein befremdliches Geschäftsgebaren der Betreiberfirma hindeuten. (…) Alles dies lässt aus unserer Sicht den Einsatz und den Erwerb der Lizenz für die App höchst fragwürdig erscheinen.“

Betreff: Nutzung und Erwerbe einer Lizenz für die „Luca App“ durch das Land Baden-Württemberg

Sehr geehrte Damen und Herren,
sehr geehrter Herr Prof. Dr. Lahl,
sehr geehrter Herr Dr. Brink,

Wir schreiben Ihnen, weil wir besorgt sind über den Ankauf einer Lizenz für die Nutzung der „Luca-App“ durch das Land Baden-Württemberg.

In den vergangenen Tagen haben nahezu täglich unterschiedliche Medienberichte und Meldungen in sozialen Medien gelesen, die auf konzeptionelle Mängel, unsaubere Programmierung des Software der Luca App und ein befremdliches Geschäftsgebaren der Betreiberfirma hindeuten. Im wesentlichen sind dies:

1. Es scheint Unregelmäßigkeiten bei dem Erwerb der App gegeben zu haben:

Eva Wolfangel Journalistin bei der Zeit fasst auf twitter zusammen:

In einem internen Vergabe-Dokument des Ministeriums für Energie, Infrastruktur und Digitalisierung MV wird ein Vergleich zwischen der #LucaApp und acht anderen Check-In-Apps angestellt – mittels von deren Website kopierter Textblöcke. Gespräche fanden offenbar keine statt. Die Vergabe in Mecklenburg wird derzeit rechtlich geprüft – denn andere finden schon, dass es Vergleichbares auf dem Markt gibt: Etwa 50 weitere Startups haben Check-in-Apps entwickelt, von denen mindestens eines aktuell die Vergabe juristisch anficht.“ (siehe: https://twitter.com/evawolfangel/status/1378612565245362176?s=21) Sie führt dann weiter aus, die App sei aufgrund einer fehlerhaften bzw. unvollständigen Markterkundung gekauft worden.

2. Es gibt erhebliche Sicherheits- und Datenschutz- Bedenken aufgrund der Konzeption der App, und das, obwohl es sich um besonders schützenswerte Daten gemäß Art. 9 (1) DSGVO handelt.

So kann etwa der API-Endpunkt zum Versenden der TAN-SMS beliebig ausgelöst werden und somit können ungewollte SMS-Nachrichten an beliebige Telefonnummern gesendet werden. Darauf hat die Betreiberfirma bis heute nicht reagiert, obwohl sie von Mitgliedern des Chaos Computer Club Freiburg darauf aufmerksam gemacht wurde.

Siehe: https://wiki.cccfr.de/luca_app_sms-tan

Die Sicherheitsforscher Stadler, Lueks et al haben eine „Vorläufige Analyse des Schad-Potentials im Luca Kontaktverfolgungssystem“, als wissenschaftliches Paper auf einem Preprint Server vorgelegt. (Quelle: https://arxiv.org/abs/2103.11958). Sie sehen schon vom Konzept her folgenden Hauptprobleme, selbst wenn man beste Umsetzung und Absichten unterstellt:

„• Durch ihre Interaktion mit dem System erzeuen Benutzer und Veranstaltungsorte eine große Menge vertraulicher Informationen, die dem Luca-Dienstbetreiber von Natur aus zugänglich gemacht werden. Wenn der Luca-Dienstbetreiber entweder von sich aus oder unter Zwang böswillig handelt oder kompromittiert wird, kann er weitere vertrauliche Informationen über Benutzer erhalten. Dies könnte es dem Luca-Dienstbetreiber möglicherweise ermöglichen, einzelne Benutzer über verschiedene Veranstaltungsorte hinweg zu verfolgen und soziale Beziehungen zwischen Benutzern aufzudecken.

Die Fülle der Informationen, auf die der Luca Backend Server zugreifen kann, führt zu einer Vielzahl potenzieller Schäden, die das System Benutzern, Communitys und Veranstaltungsorten zufügen kann. In unserer Analyse liefern wir mehrere Beispiele für potenzielles einschleichen „function creep“ von neuen Funktionen – motiviert durch den hohen Wert, den die vom Luca-System generierten Daten für viele Unternehmen haben könnten. Kommerzielle Akteure könnten unter anderem von (Echtzeit-) Informationen über die Belegung des Veranstaltungsortes und ihre früheren Inzidenzzahlen profitieren. Strafverfolgungsbehörden könnten von (Echtzeit-) Informationen über den Aufenthaltsort von Benutzern profitieren, um Sicherheitsrichtlinien durchzusetzen oder die Überwachung von Zielpersonen und -gemeinschaften durchzuführen.

Das Luca-System basiert auf einer komplexen, zentralisierten Architektur, in der der Luca Backend-Server die Beziehungen zwischen Benutzern, Gesundheitsabteilungen und Veranstaltungsortbesitzern koordiniert und vermittelt. Im aktuellen Design ist der Luca Backend Server die einzige Autorität im System, die Zugriff auf wichtige Systemfunktionen gewährt und Rollen verschiedenen Entitäten zuweist. Es kann daher nicht nur alle Interaktionen beobachten, sondern auch entscheiden, wer Zugriff auf Entschlüsselungsschlüssel hat und wer die Entschlüsselung von Datensätzen von verschiedenen Entitäten anfordern kann. Darüber hinaus kann der Luca-Dienstbetreiber Code und Verfahren nach Belieben ändern, ohne dass solche Änderungen erkannt werden. Auf diese Weise kann der Luca-Dienstbetreiber die Daten im System missbrauchen und erneut verwenden, ohne dass Benutzer oder sogar Prüfer die Möglichkeit haben, zu wissen, dass ein Missbrauch vorliegt.“

Daneben scheinen selbst die von der Betreiberfirma beauftragten Tester Bedenken bezüglich der Konzeption zu äußern. Durch das Vorhalten eines zentralen Schlüssels pro Tag zum entschlüsseln, bzw. das Anlegen von „Fake“-Gesundheitsämtern bestehe Mißbrauchspotential. (https://twitter.com/evawolfangel/status/1378610261867773952?s=21).

Es lassen sich wohl ohne großen Aufwand QR-Codes für die App erzeugen, die weder eine Telefonnummer, noch Kontaktdaten enthalten, das bedeutet, dass der QR-Code keine validen Informationen beinhalten muss. (https://twitter.com/maex_rakete/status/1379849038275678208?s=21)

Der Berliner Unternehmer Enno Lenze konnte eine private Veranstaltung erstellen, er teilte den Code dafür auf twitter und innerhalb von kurzer Zeit 614.000 QR-Codes die sich eingebucht hatten, aber nur von 210 echte Personen genutzt wurden. Es erscheint möglich den Zähler der Veranstaltung mit einem manipulierten QR-Code in die Höhe treiben, ohne sich wirklich einzubuchen. Man kann dies wohl auch direkt über die Kommandozeile eines Computers automatisieren. (https://www.berlinstory-news.de/virtuelle-corona-party-beendet/) Diese QR-Codes können wohl sehr einfach erzeugt werden (https://twitter.com/allenre97883617/status/1379405366010732552?s=21)

Andere Interessieret schafften es eine Veranstaltung so zu verändern, dass der Gastgeber herausgeflogen ist und auch die Teilnehmer. (https://twitter.com/phillipgoik/status/1379910430190100489?s=21)

Aber auch aufgrund der Umsetzung des Sicherheitskonzepts für Schlüsselanhänger erscheint uns die App unausgereift: „Zur Bestätigung der Daten wird eine TAN-Nummer abgefragt, die eigentlich nur an die hinterlegte Telefonnummer übermittelt werden soll. Der Test zeigte jedoch: Jede beliebige sechsstellige Zahl funktioniert zur Bestätigung.“

(https://twitter.com/benfooben/status/1378280885557080064?s=21)

Die LucaApp erlaubt unverschlüsselten, unauthorisierten Zugriff auf Ortsdaten und Anwesenheitszahlen, inklusive Adressdaten der Nutzer:innen. (https://twitter.com/mfeilner/status/1379362065853382657?s=21)

3. In den vergangenen Tagen hat die Betreiberfirma ein befremdliches Geschäftsgebaren an den Tag gelegt.

Zunächst wurde der Quellcode der App unter einer selbst geschriebenen Lizenz veröffentlicht, die wenig erlaubte, Zitat eines Nutzers: „mit der schlimmsten Lizenz, die wir seit Langem gelesen haben. Nur Betrachtung, keine Veränderung, keine Mirrors, etc“. (https://twitter.com/the_infinity/status/1377134549935648770?s=21), diese war auch so strukturiert, dass sie im Grunde keine öffentliche Diskussion erlaubte und jederzeit widerrufen werden konnte, also genau keine freie Software ist. Dies wurde nach Kritik aus der Community geändert (https://twitter.com/zerforschung/status/1377157288805339139?s=21 und https://twitter.com/ralf/status/1377127671017054212?s=20) Diese Veröffentlichung geschah erst auf massiven Druck aus der Öffentlichkeit und erweckte einen sehr wiederwilligen Eindruck.

Im Quellcode fehlten Attribuierung der verwendeten freien Software und Libraries, was sehr ungewöhnlich ist und den Eindruck von geistigem Diebstahl erweckt. Dafür müssen die Betreiber nun wegen Lizenverstößen Geld an den Urheber dieser Codes bezahlen. (https://twitter.com/benfooben/status/1377656397853306884?s=21)

Da die aktuelle Version, die zum Teil geklauten Code enthält, verstößt so auch gegen die Google Play Store Regeln und steht in Gefahr gelöscht zu werden, daher sie wäre für die meisten Nutzer:innen dann nicht mehr verfügbar.

Bisher liegt nach meinen Informationen lediglich der Code einer zukünftigen Android Version der Luca-App zur Einsicht vor. Der Code der iOS-App und viel wichtiger des Server Back-End wurde nicht veröffentlicht. (https://twitter.com/ranzen01/status/1378383195977187331?s=21) Er ist daher auch für Kommentare oder einen Audit durch Dritte nicht zugänglich.

Selbst das von den Betreibern veranlasste Audit bemängelt „Anfängerfehler“: „Allein wenn man sich den veröffentlichten Security-Audit anschaut, sind da lauter Anfängerfehler drinne. Und daher offensichtlich vernünftige Best-Practices fehlen, hab ich wenig vertrauen [sic!], dass es da nicht noch mehr gibt oder neue dazukommen.“, kommentiert ein Nutzer auf twitter. (https://twitter.com/benfooben/status/1378287229416660993?s=2 )

Vom diesem Sicherheitstest gibt es nur einen unvollständige Veröffentlichung.

https://twitter.com/benfooben/status/1376447763433586694?s=20

4. Die App scheint nur bedingt barriefrei.

5. Die Corona-Warn-App kann bald ähnliches.

Laut Bericht von tagesschau.de soll zeitnah nach Ostern die Corona-Warn-App um eine Funktionalität zur Eventregistrierung erweitert werden. „Nutzerinnen und Nutzer der App sollen künftig beim Betreten von Restaurants oder beim Besuch von Veranstaltungen per QR-Code einchecken können. (…) Andere Gäste erhalten dann eine Warnung von der Corona-Warn-App. (…) Jedoch gibt es einen wesentlichen Unterschied: Tracing-Apps wie Luca setzen voraus, dass man sich mit persönlichen Angaben wie Name und Telefonnummer registriert. Die Daten der Gäste werden im Falle einer Neuinfektion gesammelt an das Gesundheitsamt übermittelt, welches dann die Kontaktnachverfolgung übernehmen soll. Allerdings kommen die Ämter derzeit aufgrund der vielen Fälle nicht hinterher.“ (https://www.tagesschau.de/inland/corona-warn-app-check-in-101.html) Die App entlaste so die Gesundheitsämter und sei deutlich Datensparsamer. Dies sei für 19.4. geplant.

6. Schlußfolgerungen

Alles dies lässt aus unserer Sicht den Einsatz und den Erwerb der Lizenz für die App höchst fragwürdig erscheinen. Wir möchte Sie deshalb Bitten den Einsatz in Baden-Württemberg nochmals zu überdenken. Auch die Einschätzung des Landesdatenschutzbeauftragten erscheint uns vor diesem Hintergrund als Überarbeitungswürdig.

Aus unserer Sicht, darf auf gar keinen Fall die App zur Voraussetzung gemacht werden, um an einem wieder geöffneten sozialen Leben teilnehmen zu dürfen, wie dies teils in einigen Konzepten von Modellregionen erwähnt wird. (https://twitter.com/cccfr/status/1378368135414345729?s=21)

Es ist sicher hilfreich, wenn es gut gemachte Anwendungen gibt, die in der Pandemie helfen, aber jeder Bürger sollte die Wahl haben, ob er/sie sich ein Smartphone anschafft und welche Software er/sie verwenden will.

Digitalisierung kann einen guten Beitrag zur Bekämpfung der Pandemie leisten, sollte aber durchdacht, datensparsam und sicher sein, gerade weil die Corona-Warn-App das ist, wird sie von vielen genutzt. Immerhin wurden in den letzten sieben Tagen (Stand 5.4.) von 15.944 neuen Infektionen 2.959 über die App geteilt und somit Nutzer:innen gewarnt. Gerade diese Voraussetzungen sehen wir bei der Luca App nicht gegeben.

Wir würden uns sehr freuen, wenn Sie den Eingang dieses Briefs bestätigen und mir bei Gelegenheit darauf antworten.

Mit freundlichen Grüßen

Ihr Sebastian Müller, Jens Rieger, Dr. Tanja Schilling

Mitglieder des Chaos Computer Club Freiburg

Hinweise:

– „Die Luca-App: Dilettantisch und sinnlos“, in: https://www.heise.de/tp/features/Die-Luca-App-Dilettantisch-und-sinnlos-6007111.html?seite=all

– „Preliminary Analysis of Potential Harms in the Luca Tracing System“ in: https://arxiv.org/abs/2103.11958

4 Gedanken zu „offener Brief: Nutzung der Luca App bedenklich“

  1. DANKE!
    Ich bin immer wieder dankbar, dafür dass solche Mängel aufgedeckt und angezeigt werden.
    Bleibt dran – unabhängig, unbequem und unvoreingenommen ???

  2. Der Brief ist gut, leider wurde jedoch ein ganz wichtiger Aspekt vergessen.

    Die luca-app kann nur aus dem Google PlayStore bzw dem AppleStore heruntergeladen werden.
    Dafür muss man sich aber beim jeweiligen Datenkraken registrieren, jede Menge persönliche Daten preisgeben und sein Handy tracken lassen. Und man kann die Kraken nicht abschalten.

    Das ist fast noch schlimmer als diese Missgeburt von App.

Kommentare sind geschlossen.