IT-SicherheitSchon wieder desaströse Sicherheitslücke in Luca App

Die Kette von Sicherheitslücken bei der Luca App hört nicht auf. Ein Hacker hat nun gezeigt, wie er als Luca-Nutzer die Daten anderer Nutzer:innen der App stehlen kann.

Screenshots Luca App
Die Sicherheitslücke erlaubt es, die Daten der Nutzer:innen der Luca App zu stehlen. (Symbolbild) – Alle Rechte vorbehalten Luca App PR

Der Sicherheitsforscher Markus Mengs hat eine schwerwiegende Sicherheitslücke in der Luca App bewiesen. Damit können Luca-Nutzer das Gesundheitsamt mittels manipulierter Kontaktdaten angreifen und damit die Daten weiterer Nutzer:innen stehlen. Auch möglich sind weitere Angriffe wie zum Beispiel ganze Rechner beim Gesundheitsamt mit Ransomware zu verschlüsseln, weil Angreifer Code ausführen können.

Es handelt sich bei der Methode um eine Code Injection über die Adresse in den Luca-Daten. Bei einer Code Injection wird Programmiercode an einer Stelle eingeschleust, wo eigentlich kein Code ausführbar wäre. Verhindern lassen sich solche Angriffe zum Beispiel, indem man Zeichen wie = , oder () nicht zulässt oder automatisch durch ungefährliche Zeichen ersetzt.

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Zur Datenschutzerklärung von netzpolitik.org

Schon vor drei Wochen hatte Eva Wolfangel auf Zeit Online auf die Möglichkeit einer Code Injection hingewiesen. Der Vorstand von Nexenio, der Firma hinter der App, hatte eine Sicherheitslücke damals abgestritten. Kurz danach hatten die Entwickler allerdings Änderungen am Code vorgenommen, um eine Code Injection zu vermeiden. Das jedoch ohne Erfolg, wie der aktuelle Hack zeigt.

Lange Kette von Fehlern

Die neuerliche Sicherheitslücke reiht sich ein in eine lange Kette von Fehlern, die das Unternehmen gemacht aber nie zugegeben hat. Auf eine Anfrage von netzpolitik.org zur seit Wochen bekannten Sicherheitslücke antwortete der Luca-App-Sprecher Markus Bublitz: „Haben auch erst heute davon erfahren, wir schauen uns das gerade an.“ Er kündigte für später ein längeres Statement an.

Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), hat genau die Reaktion erwartet und kann es kaum fassen, wie er gegenüber netzpolitik.org sagt: „Wie immer wurde das Risiko herunter gespielt und die Schwachstelle sogar geleugnet. Die Schwachstellen sind eklatant, der Umgang damit katastrophal. Dieses Unternehmen hat kein Vertrauen verdient.“

„Verträge wegen mangelhafter Leistung abwickeln“

Die Häufung von eklatanten Fehler zeige, dass die Bundesländer hier auf ein in Windeseile zusammen gebasteltes Konzept hereingefallen seien. „Es wird langsam Zeit, die Verträge wegen mangelhafter Leistung abzuwickeln und die Luca App zu beerdigen“, so Neumann weiter. Die ganze Sache sei eine Blamage für jedes einzelne Bundesland, das Verträge mit den Betreibern der Luca App geschlossen habe.

Der CCC hatte schon vor mehr als einem Monat dazu aufgerufen, aufgrund der Mängel, Schwächen und Sicherheitslücken, die Notbremse zu ziehen und das Projekt zu stoppen.

Grundsätzliches Problem von Luca ist die zentrale Architektur der App. Auch das große Versprechen der App, die Arbeit der Gesundheitsämter zu erleichtern ist nicht eingelöst, denn diese nutzen Luca kaum. Die Bundesländer haben bislang Verträge in Höhe von fast 22 Millionen Euro für eine einjährige Lizenz zur Nutzung der Luca App abgeschlossen.

Update 13:50:

In einer an netzpolitik.org zugesandten Stellungnahme (PDF) bestätigen die Betreiber von Luca zwar die Existenz der Sicherheitslücke, schieben aber die Verantwortung für eine mögliche Bedrohung auf Microsoft Excel und unvorsichtige Mitarbeiter:innen in Gesundheitsämtern. Dass letztlich ihre Programmierung die Sicherheitslücke bedingte, gibt Luca nicht zu, verweist aber auf ein Update, das die Lücke nun schließt. Auf die Frage von netzpolitik.org, warum die Lücke nicht nach den ersten Hinweisen auf Zeit Online vor drei Wochen geschlossen wurde, antwortete der Luca-Sprecher nicht. Man habe erst heute durch eine Medienanfrage und Twitter davon erfahren, heißt es in der Presseerklärung.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

14 Ergänzungen

  1. Ich finde es immer sehr gut, wie netzpolitik.org auf Quellen / weiterführende Inhalte direkt verlinkt, wie es sich im Internet gehört. Hier in dem Artikel fehlt jedoch leider ein Link zum YouTube-Video, daher hier nachgereicht für die Anti-iframe-Fraktion, da man hier ohne Einbinden des YT-Videos und auch nicht über den RSS-Feed an den YouTube-Link kommt: https://youtu.be/xTljfac-0ag (Link zur YT-Video-Seite) bzw. https://www.youtube-nocookie.com/embed/xTljfac-0ag?feature=oembed (Original-Embed-Link)

  2. Gint es nicht Mindestanforderungen insbes. an Software die beschafft / mit Steuergeld gekauft wird? Z.B. in Bezug auf Sicherheit/Codequalität? Die Luca-App ist ja mittlerweile ein Luca-Nepp. Unglaublich.

  3. Staatliche Verhandler haben geschlafen?
    IT-Dienst hat überlesen, dass laut Vertrag Makros ausgeschaltet gehören?
    App erfüllt nicht die Anforderungen?

    Lustig wäre, wenn die App erfordert, Makros eingeschaltet zu haben.

    Das ist kein Bug, sondern entspricht eher Unterlassung. Das Gesamtsystem muss bzgl. der Daten schon vollständig geplant werden. Mit „mostly harmless“ kann man da nicht hantieren.

  4. Mal ehrlich, was ist denn das für eine „Stellungnahme“?
    Schuld sind nur die anderen. Ja natürlich.

    Würde mir mein Maildienstleister mitteilen, das das scannen von eingehender Email auf seinem Server nach Viren eingestellt würde, wäre da sofort Schluß.
    Wenn ich Daten empfange, werden die sofort und automatisiert auf Schadcode jeder Art untersucht.
    Wenn ich weiss, das ich nicht autark sondern mit Drittmitteln hantieren muss, ist es oberstes Gebot alles zu unternehmen, das CI in jedweder Art unmöglich gemacht wird.

    Und wenn sich Luca ablenkend sich schon beim BSI bedient, sollten Sie wenigstens die ersten Seiten des ICS-Security Kompendium aus gleicher Quelle lesen.

    https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ICS/ICS-Security_kompendium_pdf.pdf?__blob=publicationFile

    1. Luca kann sich mit der Aussage zwar nicht freikaufen das Makros deaktiviert werden sollten, sie haben aber dennoch recht. Hier haben einfach zwei Instanzen Mist gebaut das dieser Hack möglich ist. Hätte einer sauber gearbeitet währe der Hack nicht möglich.

      Wenn Luca die Lücke schließt bleibt der Rechner dennoch unsicher und ein Code wird halt über eine andere Software wie ein Emailclient ausgeführt.

      1. Das mit den Nutzereingaben betrifft aber schon auch irgendwo Grundlagen. Nutzereingaben ungeprüft weiterzugeben, im Zuge der Verarbeitung sensibler Daten, erfordert zwingend, dass dieses in der Spezifikation bzw. in den Anforderungen so vermerkt ist.

        Normalerweise würde man Daten an eine SQL Datenbank nicht so weitergeben, dass das Query bereits zerschossen werden kann, weswegen man Nutzereingaben peinlichst zu prüfen hat. „CSV Export für Excel“ gehört doch in die gleiche Kategorie.

        Was kommt als nächstes? Eine HTML-Ansicht für ohne Javascript oder besser noch für ohne Flashplayer? Textdateiexport für Shellskript? Oder für ohne, oder ohne oder, oder…

        Zum Vergleich: Wir improvisieren auch keine Gefahrgutlager in Kellern von Kindertagesstätten, mit dem einzigen Vermerk „Zugeschnitten – läuft!“.

  5. Ich verstehe die Betreiber der Luca App also so, dass sie die Gesundheitsämter bzw. deren Mitarbeiter:innen dafür verantwortlich machen. Das ist echt mies.

    Wenn falsche Bedienung solche schwerwiegenden Konsequenzen haben kann wie das Aufspielen von Randsomware oder das Ausspionieren von persönlichen Daten, dann hat die Software versagt. Die Kompetenzen der Mitarbeiter:innen im Gesundheitsamt liegen nun mal wo anders. Eine App wie Luca muss so designt werden, dass sie auch sicher gegen Fehlbedienungen ist.

    1. Falsche Bedienung durhc Administration wäre verstehbar. Ob das der Fall ist, kann eigentlich nur der Vertrag zeigen.

      Dass das System so nicht hätte spezifiziert werden sollen, muss doch inzwischen allen klar sein. Wer jetzt meint, es sei kein Fehler gewesen, das System so abzunehmen… wurde es überhaupt abgenommen? Womit haben wir es hier überhaupt zu tun? Eine Machtdemonstration a la Voss?

  6. Tja, ein neuer Teil in der nicht enden wollenden Serie der Schwachstellen der Luca App. Schade eigentlich, aber irgendwie war mir schon ab dem Moment, dass die App ohne weitere Prüfungen und ohne Ausschreibung eingekauft wurde klar, dass man sich nur noch Popcorn holen gehen kann. Und es kam, wie ich vermutete.

    Und nun auch bei diesem Problem, ja die Schuld komplett auf andere Schieben ist schon nice, aber luca trägt mMn mindestens eine Mitschuld. Wenn ich mir eine Software kaufe, erwarte ich, dass alles was die App ausspuckt entweder sicher ist oder ich zumindest aufgeklärt werde über mögliche Risiken.
    Um die Makro-Sache zu Adressieren; ich kenne eigene Leute die in Behörden arbeiten und täglich mit diesen Programmen zu tun haben, und eigentlich jedes Programm meckert rum, irgendwelche Schreibrechte müssen bestätigt werden, irgendwas geht gerade nicht, alles muss einmal „OK“ geklickt werden und irgendwann greift die Gewöhnung, wenn Excel wieder herumzickt, einfach OK zu klicken. Auch die Leute, die die Geräte bedienen haben selten viel Plan davon und wurden früher oder später einfach instruiert, „wenn der PC zickt, einfach die Banner wegklicken“. Tja, wenn da mal dann die einzige Meldung ist, die uns den Rechner retten könnte, greift die Routine und man klickt sich ins Verderben!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.