Über die Luca-App zur Erfassung der Besuche von Orten, an denen Coronainfektionen passieren können, hat man sich ein Sicherheitsrisiko par Excellence ins Haus geholt. Denn die App ermöglicht eine Code-Injektion in die Daten, die an Gesundheitsämter übertragen werden. Das haben Sicherheitsforscher inzwischen in einem Experiment nachgewiesen. Mit dem injizierten Code ließen sich Gesundheitsämter angreifen und lahm legen.
Anzeige
Die Luca-App, so die Wikipedia, ist eine kommerzielle App für Mobilgeräte, die zur Datenbereitstellung für eine Kontaktpersonennachverfolgung und für die Risikokontaktbenachrichtigung im Rahmen einer Pandemie eingesetzt werden kann. Die App steht aber seit Monaten wegen Sicherheitslücken, Offenlegung des Codes und Datenschutzmängeln in der Kritik. Experten raten definitiv vom Einsatz dieser App ab. Trotz der in den letzten Wochen bekannt gewordenen Mängel wurden die Lizenzen der App von mehreren Bundesländern eingekauft. Nach Angaben der Betreiber der Luca-App haben sich mittlerweile Schleswig-Holstein, Mecklenburg-Vorpommern, Berlin, Hamburg, Bremen, Niedersachsen, Sachsen-Anhalt, das Saarland, Rheinland-Pfalz, Hessen, Brandenburg, Baden-Württemberg und Bayern für den Einsatz der App entschieden. Nun ist quasi der nächste GAU passiert, denn eine Code-Injection in die Daten, die die App an Gesundheitsämter überträgt, ist das Ausführen von Schadcode auf Rechnern des Gesundheitsamtes möglich.
Code-Injection über Excel-Daten
Sicherheitsforscher Marcus Mengs, Bianca Kastl und weitere Personen haben gerade eine weitere Schwachstelle in der Luca-App offen gelegt. Normale Benutzer könnten über den Datenexport an die Gesundheitsämter die persönlichen Daten aller an einem Ort eingecheckten Personen ermitteln und weiterhin per Remote-Code-Execution sogar die IT-Systeme der Gesundheitsämter angreifen. Mengs weist in nachfolgendem Tweet auf diese Schwachstelle hin.
Hintergrund der Schwachstelle ist der Datenabruf durch die Gesundheitsämter. Die Sicherheitsforscher um Macus Mengs haben dazu fiktive Nutzer, die eine Bar besucht haben, über die Luca-App einchecken lassen. Die fiktiven Besucher konnten sich in der Luca-App mit beliebigen Sonderzeichen im Namen und Adressdaten registrieren. Beim Import des Datensatzes dieses Besuchers in Excel wurden diese Sonderzeichen aber als Formel interpretiert und ausgewertet.
Anzeige
Gelöscht(Quelle: YouTube)
Damit ist dem Missbrauch Tür und Tor geöffnet, denn es lassen sich auch Excel-Makros übermitteln. Über diesen Ansatz konnte der Nutzer Daten aus dem Excel-Arbeitsblatt beim Gesundheitsamt abgreifen. Und im zweiten Schritt wäre auch die Übermittlung von Ransomware denkbar, die dann über Excel das System des Mitarbeiters vom Gesundheitsamt die IT-System angreift und lahm legt. Obiges Video demonstriert den Zugriff auf Excel über die von der Luca-App übermittelten Daten.
Lücke gefixt – wann kommt der nächste GAU?
Die ganze Geschichte bekommt noch eine besonders pikante Note. Bei netzpolitik.org verweist man hier darauf, dass Eva Wollnagel vor drei Wochen in einem Zeit-Artikel genau auf das Risiko einer Code-Injection hingewiesen habe (der Zeit-Artikel befindet sich hinter einer Paywall und wird daher nicht verlinkt). Der Vorstand des App-Entwicklers Nexenio hatte seinerzeit eine Sicherheitslücke abgestritten. Allerdings nahmen die Entwickler Änderungen am Code vor, um eine Code Injection zu vermeiden (siehe diese Tweets). Das hat aber wohl nicht ausgereicht, wie das aktuelle Beispiel zeigt.
Verfolgt man den Werdegang der Luca-App, die durch Medien und Politik gehypt wurde, kann man nur ungläubig den Kopf schütteln. Sicherheitsexperten haben die App seit Monaten wegen gravierender Schwachstellen kritisiert – sowohl der oben verlinkte Wikipedia-Artikel als auch dieser Artikel von Netzpolitik legen die Finger in die sicherheitstechnischen Wunden. Vom Entwickler der App wurden solche Schwachstellen geleugnet oder heruntergespielt.
Netzpolitik hat eine Stellungnahme (PDF) der Entwickler der Luca-App online gestellt. Dort wird die Existenz der Schwachstelle zwar bestätigt, die Verantwortung aber auf Microsoft Excel und die Mitarbeiter der Gesundheitsämter geschoben. Ein Update soll die Lücke nun schließen. Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), kommentiert in diesem Tweet den Vorgang und äußert gegenüber Netzpolitik: Wie immer wurde das Risiko herunter gespielt und die Schwachstelle sogar geleugnet. Die Schwachstellen sind eklatant, der Umgang damit katastrophal. Dieses Unternehmen hat kein Vertrauen verdient. Neumann fordert, die Verträge wegen mangelhafter Leistung abzuwickeln und die Notbremse zu ziehen, um das Projekt zu stoppen.
Das Ärzteblatt zitiert hier eine Sprecherin des Bundesgesundheitsministeriums (BMG), die zu möglichen Konsequenzen befragt wurde. Denn die Luca-App wurde von vielen politisch Verantwortlichen als gelungene Ergänzung zur offiziellen Corona-Warn-App betrachtet. Die Sprecherin verwies an die Bundesländer, die für Millionen Lizenzen der Luca-App gekauft haben. Neben Netzpolitik geht heise in diesem Artikel auf den Sachverhalt ein.
Ähnliche Artikel:
Lizenzärger: Die Luca-App und die Open Source-Klippen
Der Schweizer Impfpass: Gescheitert an der Sicherheit
Schwachstellen bei COVID-19-Impfportalen und beim SORMAS-System
Corona-Warn-App 2.0 mit Check-In-Funktion
Betrug mit vermeintlicher Pfizer-Corona-Impfumfrage
Betrugsangebote für Corona-Speicheltests in Deutschland
Corona-Warn-App 2.0 mit Check-In-Funktion
Corona-Tests: Datenleck legt persönliche Daten und Ergebnisse offen
Übermittelt die Corona-Warn-App des RKI ungewollt Benutzerdaten an Google?
Anzeige
Man kann den Luca Machern vieles vorwerfen, aber kein Totalversagen. Immerhin konnten sie ihren Schrott für Millionenbeträge an ahnungslose und unqualifizierte Bundesländer verticken.
quote: Dieses Unternehmen hat kein Vertrauen verdient. Neumann fordert, die Verträge wegen mangelhafter Leistung abzuwickeln und die Notbremse zu ziehen, um das Projekt zu stoppen.
Unsere politischen Entscheider verlieren damit auch Vertrauen, wann läuft der Topf über?
Und ich fordere die User auf, haut den Mist runter, vom Smartphone.
Oder stehen Vergnügen und Genuss im Vordergrund?
Wo das gefährlich wird, zeigt Russland, wo gar kein Vertrauen mehr in die Behörden vorhanden ist und sich der Großteil der Bevölkerung noch nicht mal impfen lassen will. Die bezahlen teilweise, dass sich Leute impfen lassen.
Ich komme ja momentan eher nur selten aus dem Haus raus, wegen Homeoffice. Aber wenn ich mal wo bin, halte ich immer nach QR-Codes an Geschäften usw. Ausschau, jetzt am Wochenende auch mal an Restaurants im Freien usw. Aber bisher nur einen einzigen Code gefunden, und der war weder für die Luca noch CWA, sondern irgendwas anderes. Statt dessen weiterhin überall diese Zettelwirtschaft.
Wenn das was werden soll, so jedenfalls nicht.
Ich wär ja dafür, dass beim ersten verschlüsselten Gesundheitsamt, die politischen Verantwortlichen den Schaden aus eigener Tasche bezahlen.
Excel? Formeln? Die Sicherheitsforscher kennen sicherlich:
h**ps://xkcd.com/327/
Vom BSI gibt es die Veröffentlichung "APP.1.1: Office-Produkte" aus Februar 2020. Hier geht es insbesondere um "APP.1.1.A2 Einschränken von Aktiven Inhalten (B)". Wenn die IT-Verantwortlichen in den Gesundheitsämtern diese umsetzen, sollte es nicht zu einen im Video dargestellten Angriff kommen.
Es gibt aber auch vom BSI Publikationen aus 2019 zu diesem Thema ("BSI gibt Tipps zur sicheren Konfiguration von MS Office")
Ebenso gibt es von der KBV die "§ 75b SGB V Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung", in der ebenfalls Sicherheitsmaßnahmen zu diesem Thema aufgeführt werden.
Ich vermute allerdings, dass in den Gesundheitsämtern so viele ungeschulte Mitarbeiter sind, dass das im Video gezeigte Szenario schnell zum Erfolg führt, denn Deppen gibt es überall.
Ach, da machen die das E-Mail-Gateway zu und lassen da keine Word- und Excel-Dateien mehr durch. Rausschicken können sie dann aber noch und das sind dann Excel-Dateien mit Makros, die man ausfüllen soll. Und dann reagieren sie ungnädig, wenn sie die nicht zurück kriegen. Scnr, ist der Klassiker aus der Praxis.*
Behörden können Excel und Word auch gar nicht richtig absichern, weil es immer eine höhere Behörde gibt, die ihnen Excel-Dateien mit Makros zum pflichtgemäßen Ausfüllen sendet.
Und wenn das Mal irgendwann ausgeräuchert wird, dann gibt es immer noch die Banken, die Förderprogramme betreuen. Da geht ohne Excel und Makros auch gar nichts. Von Microsoft Office mal ganz zu schweigen.
Die IT der dezentralen, kleineren Behörden entwickelt da seit Jahren erstaunliche Fähigkeiten beim Entgegennehmen und relativ ereignisarmen Verarbeiten von makroverseuchten MS Office Dateien. Dass da nicht jeden Tag eine Behörde umkippt, grenzt fast an ein Wunder. Was alleine wir an obskuren Regeln zur Prüfung von solchen Dateien im E-Mail-Emfang auffahren, ist schon grandios. Da wird von der Annahme der Themenbezug ermittelt, mit der Empfänger-Adresse abgeglichen, Bezeichnungen und Inhalte mit Abwägungslisten verglichen, die Vergangenheit von Absender, Servername und IP betrachtet und noch einiges lustiges veranstaltet, unter anderem mehrere, verschiedene Scan-Engines, bevor angenommen wird oder eben gar nicht erst angenommen.
Und beim Download wird ein ähnlicher Aufwand betrieben, weil das Licht sonst schon lange aus wäre. Alles nur wegen MS Office und Zwangsmakros.
Klassiker 2, gestern: bekomme eine Mail mit einem Word-Anhang zum Ausfüllen, sei eilig. Kein Makro drin. Also ausgefüllt, zurück geschickt. Später Stängelanruf, wo die Datei bleibe. Was? Ich könne die doch nicht als Word schicken, die läge dann doch tagelang bei ihnen in der Quarantäne. Ob ich die nicht in .txt umbenennen könne und erneut schicken, er würde die dann wieder zurück benennen. Den Rest des Gesprächs musste ich mit Stirn auf dem Tisch führen. Die Skurilitäten in der Praxis sind endlos und die angeblichen Sicherheitsmaßnahmen, die eigentlich nur zur kreativen Umgehung auffordern, sind Legion.
Ersetze die Word- und Excel-Dateien mit PDF inklusive JavaScript, und es passt auch wieder.
Die Deppen sitzen aber nicht an den PC sondern "lassen arbei"Mit"arbeiter-Ebene. "Training on the job. Also einfach nur soviel durch Kollegen zeigen lassen, das etwas raus kommt. Anlernen hieß das früher in der Industrie… Auf keinen Fall mehr. Dem Untergebenen muß der Schweiß auf der Stirn stehen. Nicht vor Anstrengung, sondern vor Angst aus Unsicherheit irgendwas falsch zu machen und das Programm abstürzen zu lassen. (Ja, ihnen wird erzählt das es ihre Schuld und Verantwortung sei, wenn eine Software oder gar der Server abstürzt.)
Gerade bei Luca war doch irgendein Landesfürst so blöde-überheblich und hat öffentlich gesagt, das er überhaupt nicht verstanden hatte was die Software macht für die er das Geld freigeben hatte. Aber die Leute waren nett und haben erzählt, das das Programm das mache was er bräuchte (wie es halt jeder Staubsauger-Verteter und Versicherungs-Fuzzi macht)..