Luca-App: IT-Experten decken Sicherheitslücke auf
In 13 Bundesländern nutzen Gesundheitsämter derzeit das Luca-System.
Foto: dpaBerlin, Hamburg. Die Luca-App gerät durch eine Sicherheitslücke weiter in die Kritik. Sie soll es ermöglicht haben, das Bewegungsprofil von Nutzern auszulesen. Davor warnen die IT-Sicherheitsexperten Bianca Kastl und Tobias Ravenstein in einem Schreiben, das dem Handelsblatt vorliegt.
Die Luca-App soll Gesundheitsämter dabei unterstützen, Kontakte von Corona-Infizierten nachzuverfolgen. Sie gilt als Ersatz von Kontaktzetteln: Durch die App kann man sich mit einer Art virtueller Visitenkarte beispielsweise in Restaurants oder Kinos anmelden.
Für Nutzer ohne Smartphone ist dies mithilfe eines sogenannten Schlüsselanhängers möglich. Diese ausgedruckten QR-Codes waren von der Sicherheitslücke „Luca Track“ betroffen. Wer den Code einscannt, konnte offenbar recht einfach auf eine Site gelangen, die die letzten Orte aufführt, bei denen sich ein Nutzer registriert hat.
Das Problem soll laut dem Berliner Luca-Entwickler Nexenio mittlerweile zunächst dadurch behoben worden sein, dass die entsprechende Funktion ausgeschaltet worden ist.
Ohne besondere Kenntnisse sei es den IT-Experten möglich gewesen, über ein Foto des Schlüsselanhängers die Ortsinformationen aus den vergangenen 30 Tagen auszulesen. „Die Konsequenzen der Sicherheitslücke sind gravierend“, schreiben sie. Dementsprechend seien alle Schlüsselanhänger zu entsorgen. Es seien rund 100.000 davon im Umlauf, der Entwickler spricht hingegen von 14.000.