
Einem Bericht der Norddeutschen Neuesten Nachrichten (NNN) zufolge ist insbesondere der teils als „Notlösung“ propagierte Einsatz von Schlüsselanhängern mit aufgedrucktem QR-Code mangelhaft. Roger Schmidt, Informatiker aus Rostock, gelang es problemlos, nachzuweisen, dass auch mit einem nicht registrierten Schlüsselanhänger Zutritt zu Veranstaltungen oder Läden möglich ist. Das führe den Zweck der Kontaktnachverfolgung ad absurdum.
Schlüsselanhänger mit QR-Code und Fantasiedaten möglich
Zudem sei die Registrierung als solche viel zu leicht zu manipulieren. Luca prüfe hier lediglich, ob die zu den persönlichen Daten angegebene Telefonnummer stimme und das auch nur, indem eine SMS mit einem Bestätigungscode dorthin gesendet werde.
Abseits der SMS gelang es Schmidt, der auch Geschäftsführer der Fraktion Rostocker Bund in der dortigen Bürgerschaft ist, jede beliebige sechsstellige Zahl als Bestätigung anzugeben. Damit könnten Nutzer sich einen Schlüsselanhänger mit Fantasiedaten versehen und ihn per Fantasiezahl aktivieren, wobei letzteres ohnehin optional zu sein scheint.
Die Schlüsselanhänger-Lösung ist eigentlich nur für Menschen vorgesehen, die über kein Smartphone verfügen. In der App auf mobilen Geräten gibt es das genannte Problem mit den entsprechenden Lücken nicht. Aber gerade deswegen könnte der Schlüsselanhänger eine ungeahnte Popularität erhalten, zumal der ab Ende April auch im Luca-Webshop bestellt werden können soll.
Unsicherheit by Design: Check-ins auch ohne Check-in möglich
Auf ein weiteres Problem weist Twitter-Nutzer Sanddrn hin. Der oder die Nutzer*in hat sich den QR-Code einer Lokation besorgt, ihn dann eingelesen und mit der so entstehenden URL einige Versuche gemacht. Die URL würde innerhalb der Luca-App nicht sichtbar und direkt zu einem Check-in führen. Mit einem normalen QR-Scanner bekommen wir indes die dahinterliegende Adresse.
Die hat Sanddrn nun genommen und strukturiert. Sie endet hinter dem Slash nach „webapp“ auf einen Zahlen-Buchstaben-Code. Durch das Einsetzen des Wörtchens „scanner“ hinter dem Slash nach „webapp“ und das Setzen eines weiteren Slash mit nachfolgendem Aufruf konnte Sanddrn den Check-in ausführen, ohne vor Ort gewesen sein zu müssen.
Zwischenfazit: Nutzer können sich auf diese Weise von sonst wo an jedem beliebigen Ort einchecken. Das geht ganz offensichtlich ohne Prüfung der Geolocation. Außerdem gelang es Sanddrn, Schlüsselanhänger an der Test-Location einzuloggen. Über einen Zugriff auf die offene API von Luca konnte Sanddrn sogar die unverschlüsselte Adresse der über den QR-Code gescannten Lokation herausfinden.
Fazit: Laut Sanddrn können Personen ohne ihr Wissen an beliebigen Locations eingecheckt werden. Zudem lassen sich die Check-in-Zahlen und die Adressen beliebiger Lokationen über einen beliebigen Browser auslesen. Das kann im Grunde nicht dem „strikten Privacy-Fokus“, den die Luca-Macher versprechen, genügen. Es ist nicht die erste Kritik, die die App der Berliner Entwickler von Nexenio einstecken muss.
Interessanter Artikel, danke! Aber eine Anmerkung habe ich: Ich finde es prinzipiell gut, dass ihr den englischen Begriff Location vermeiden wolltet, aber stattdessen dann von Lokationen zu reden, verursacht neue Probleme. Vielleicht nehmt ihr in Zukunft lieber echte Wörter, wie bspw. Örtlichkeit? ;)
Es mag ja durchaus alles zutreffen, aber haben denn diese Lücken tatsächlich Auswirkungen in der Praxis? Und wenn ja, wie schwerwiegend sind diese? Ich habe eher den Eindruck, es wird nur zum Selbstzweck nach Lücken gesucht. Es geht nur noch darum ein Produkt schlecht aussehen zu lassen.
Die Auswirkungen sind mit Phantasie einer DOS Attacke gleichzusetzen. Natürlich bin ich kein Experte, aber mit diesen Möglichkeiten kann man den Zweck der App völlig zerstören.
Schade, denn es sind einfache Lösungen denkbar.
Ich fände es gut, entweder Links oder Beispiel-URL/REST-Aufrufe hunzuschreiben, um das selbst nach zu spielen. Oder es nicht so an die große Glocke zu hängen. Schade, wenn diese Lücken „verschwendet“ werden, ohne dass sie jemandem nützen! Wir müssen als Gesellschaft nämlich lernen, mit digitalen Kontrollen umzugehen, ähnlich wie Menschen im Sozialismus mit der „staatlichen Lenkung“ produktiv umgehen können mussten, um irgendwas im Leben machen zu können.