weitere Lücke in der Luca-App gefunden

[Astor27]

• Der Chaos Computer Club (CCC) hat jetzt eindringlich einen sofortigen Stopp der Luca-App gefordert. Auslöser hierfür ist eine weitere eklatante Sicherheitslücke in der Architektur des Kontaktverfolgungssystems, die im Kern die bisherigen Probleme fortsetzt. Die jüngste Schwachstelle betrifft den Luca-Schlüsselanhänger, von dem die Länder bereits um die hunderttausend Stück gekauft haben sollen. Dieser soll für Personen zur Verfügung gestellt werden, die kein Smartphone besitzen und die Luca-App entsprechend nicht verwenden können. Da die Kontaktverfolgung mit der Software aber teilweise sogar verpflichtend sein soll, wenn Bürger am öffentlichen Leben teilhaben wollen, sollten die Schlüsselanhänger auch Checkins ohne App ermöglichen.
  Mit minimalen Programmierkenntnisse sei es möglich gewesen, ein Skript zu schreiben, dass einem externen Angreifer das bisherige Bewegungsprofil und den aktuellen Checkin eines Nutzers lieferte. Benötigt wurde dafür lediglich ein Foto des QR-Codes, der auf dem Schlüsselanhänger aufgedruckt ist. Das berichtete die Gruppe "LucaTrack", die die Schwachstelle gefunden hat. Nach einer Meldung an den Hersteller soll das Problem inzwischen behoben worden sein. Quellen: https://winfuture.de/news,122333.html