News

Kritik an Luca-App: QR-Codes lassen sich leicht auslesen und missbrauchen

Luca, die digitale Kontaktverfolgungs-App, steht immer wieder in der Kritik. (Screenshot: Luca/t3n)
Lesezeit: 2 Min.
Artikel merken

Wie sicher ist die Luca-App? Jetzt zeigt sich, dass das QR-Code-System sowohl digital wie auch als Ausdruck problematisch ist und gravierende Sicherheitsfragen aufwirft.

Einem Bericht der Norddeutschen Neuesten Nachrichten (NNN) zufolge ist insbesondere der teils als „Notlösung“ propagierte Einsatz von Schlüsselanhängern mit aufgedrucktem QR-Code mangelhaft. Roger Schmidt, Informatiker aus Rostock, gelang es problemlos, nachzuweisen, dass auch mit einem nicht registrierten Schlüsselanhänger Zutritt zu Veranstaltungen oder Läden möglich ist. Das führe den Zweck der Kontaktnachverfolgung ad absurdum.

Schlüsselanhänger mit QR-Code und Fantasiedaten möglich

Zudem sei die Registrierung als solche viel zu leicht zu manipulieren. Luca prüfe hier lediglich, ob die zu den persönlichen Daten angegebene Telefonnummer stimme und das auch nur, indem eine SMS mit einem Bestätigungscode dorthin gesendet werde.

Abseits der SMS gelang es Schmidt, der auch Geschäftsführer der Fraktion Rostocker Bund in der dortigen Bürgerschaft ist, jede beliebige sechsstellige Zahl als Bestätigung anzugeben. Damit könnten Nutzer sich einen Schlüsselanhänger mit Fantasiedaten versehen und ihn per Fantasiezahl aktivieren, wobei letzteres ohnehin optional zu sein scheint.

Die Schlüsselanhänger-Lösung ist eigentlich nur für Menschen vorgesehen, die über kein Smartphone verfügen. In der App auf mobilen Geräten gibt es das genannte Problem mit den entsprechenden Lücken nicht. Aber gerade deswegen könnte der Schlüsselanhänger eine ungeahnte Popularität erhalten, zumal der ab Ende April auch im Luca-Webshop bestellt werden können soll.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Unsicherheit by Design: Check-ins auch ohne Check-in möglich

Auf ein weiteres Problem weist Twitter-Nutzer Sanddrn hin. Der oder die Nutzer*in hat sich den QR-Code einer Lokation besorgt, ihn dann eingelesen und mit der so entstehenden URL einige Versuche gemacht. Die URL würde innerhalb der Luca-App nicht sichtbar und direkt zu einem Check-in führen. Mit einem normalen QR-Scanner bekommen wir indes die dahinterliegende Adresse.

Die hat Sanddrn nun genommen und strukturiert. Sie endet hinter dem Slash nach „webapp“ auf einen Zahlen-Buchstaben-Code. Durch das Einsetzen des Wörtchens „scanner“ hinter dem Slash nach „webapp“ und das Setzen eines weiteren Slash mit nachfolgendem Aufruf konnte Sanddrn den Check-in ausführen, ohne vor Ort gewesen sein zu müssen.

Zwischenfazit: Nutzer können sich auf diese Weise von sonst wo an jedem beliebigen Ort einchecken. Das geht ganz offensichtlich ohne Prüfung der Geolocation. Außerdem gelang es Sanddrn, Schlüsselanhänger an der Test-Location einzuloggen. Über einen Zugriff auf die offene API von Luca konnte Sanddrn sogar die unverschlüsselte Adresse der über den QR-Code gescannten Lokation herausfinden.

Fazit: Laut Sanddrn können Personen ohne ihr Wissen an beliebigen Locations eingecheckt werden. Zudem lassen sich die Check-in-Zahlen und die Adressen beliebiger Lokationen über einen beliebigen Browser auslesen. Das kann im Grunde nicht dem „strikten Privacy-Fokus“, den die Luca-Macher versprechen, genügen. Es ist nicht die erste Kritik, die die App der Berliner Entwickler von Nexenio einstecken muss.

Das könnte dich auch interessieren

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

4 Kommentare
Till
Till

Interessanter Artikel, danke! Aber eine Anmerkung habe ich: Ich finde es prinzipiell gut, dass ihr den englischen Begriff Location vermeiden wolltet, aber stattdessen dann von Lokationen zu reden, verursacht neue Probleme. Vielleicht nehmt ihr in Zukunft lieber echte Wörter, wie bspw. Örtlichkeit? ;)

Antworten
Thomas
Thomas

Es mag ja durchaus alles zutreffen, aber haben denn diese Lücken tatsächlich Auswirkungen in der Praxis? Und wenn ja, wie schwerwiegend sind diese? Ich habe eher den Eindruck, es wird nur zum Selbstzweck nach Lücken gesucht. Es geht nur noch darum ein Produkt schlecht aussehen zu lassen.

Antworten
Markus
Markus

Die Auswirkungen sind mit Phantasie einer DOS Attacke gleichzusetzen. Natürlich bin ich kein Experte, aber mit diesen Möglichkeiten kann man den Zweck der App völlig zerstören.

Schade, denn es sind einfache Lösungen denkbar.

Antworten
Karlo
Karlo

Ich fände es gut, entweder Links oder Beispiel-URL/REST-Aufrufe hunzuschreiben, um das selbst nach zu spielen. Oder es nicht so an die große Glocke zu hängen. Schade, wenn diese Lücken „verschwendet“ werden, ohne dass sie jemandem nützen! Wir müssen als Gesellschaft nämlich lernen, mit digitalen Kontrollen umzugehen, ähnlich wie Menschen im Sozialismus mit der „staatlichen Lenkung“ produktiv umgehen können mussten, um irgendwas im Leben machen zu können.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Digitales High Five
Holger Schellkopf (Chefredakteur t3n)

Anleitung zur Deaktivierung

Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder