![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
\u00dcber die Luca-App zur Erfassung der Besuche von Orten, an denen Coronainfektionen passieren k\u00f6nnen, hat man sich ein Sicherheitsrisiko par Excellence ins Haus geholt. Denn die App erm\u00f6glicht eine Code-Injektion in die Daten, die an Gesundheits\u00e4mter \u00fcbertragen werden. Das haben Sicherheitsforscher inzwischen in einem Experiment nachgewiesen. Mit dem injizierten Code lie\u00dfen sich Gesundheits\u00e4mter angreifen und lahm legen.<\/p>\n
<\/p>\n
Sicherheitsforscher Marcus Mengs, Bianca Kastl und weitere Personen haben gerade eine weitere Schwachstelle in der Luca-App<\/a> offen gelegt. Normale Benutzer k\u00f6nnten \u00fcber den Datenexport an die Gesundheits\u00e4mter die pers\u00f6nlichen Daten aller an einem Ort eingecheckten Personen ermitteln und weiterhin per Remote-Code-Execution sogar die IT-Systeme der Gesundheits\u00e4mter angreifen. Mengs weist in nachfolgendem Tweet<\/a> auf diese Schwachstelle hin.<\/p>\n Hintergrund der Schwachstelle ist der Datenabruf durch die Gesundheits\u00e4mter. Die Sicherheitsforscher um Macus Mengs haben dazu fiktive Nutzer, die eine Bar besucht haben, \u00fcber die Luca-App einchecken lassen. Die fiktiven Besucher konnten sich in der Luca-App mit beliebigen Sonderzeichen im Namen und Adressdaten registrieren. Beim Import des Datensatzes dieses Besuchers in Excel wurden diese Sonderzeichen aber als Formel interpretiert und ausgewertet.<\/p>\n Gel\u00f6scht(Quelle: YouTube)<\/p>\n Damit ist dem Missbrauch T\u00fcr und Tor ge\u00f6ffnet, denn es lassen sich auch Excel-Makros \u00fcbermitteln. \u00dcber diesen Ansatz konnte der Nutzer Daten aus dem Excel-Arbeitsblatt beim Gesundheitsamt abgreifen. Und im zweiten Schritt w\u00e4re auch die \u00dcbermittlung von Ransomware denkbar, die dann \u00fcber Excel das System des Mitarbeiters vom Gesundheitsamt die IT-System angreift und lahm legt. Obiges Video demonstriert den Zugriff auf Excel \u00fcber die von der Luca-App \u00fcbermittelten Daten.<\/p>\n Die ganze Geschichte bekommt noch eine besonders pikante Note. Bei netzpolitik.org verweist man hier<\/a> darauf, dass Eva Wollnagel vor drei Wochen in einem Zeit-Artikel genau auf das Risiko einer Code-Injection hingewiesen habe (der Zeit-Artikel befindet sich hinter einer Paywall und wird daher nicht verlinkt). Der Vorstand des App-Entwicklers Nexenio hatte seinerzeit eine Sicherheitsl\u00fccke abgestritten. Allerdings nahmen die Entwickler \u00c4nderungen am Code vor, um eine Code Injection zu vermeiden (siehe diese Tweets<\/a>). Das hat aber wohl nicht ausgereicht, wie das aktuelle Beispiel zeigt.<\/p>\n Verfolgt man den Werdegang der Luca-App, die durch Medien und Politik gehypt wurde, kann man nur ungl\u00e4ubig den Kopf sch\u00fctteln. Sicherheitsexperten haben die App seit Monaten wegen gravierender Schwachstellen kritisiert – sowohl der oben verlinkte Wikipedia-Artikel als auch dieser Artikel von Netzpolitik<\/a> legen die Finger in die sicherheitstechnischen Wunden. Vom Entwickler der App wurden solche Schwachstellen geleugnet oder heruntergespielt.<\/p>\n Netzpolitik hat eine Stellungnahme<\/a> (PDF) der Entwickler der Luca-App online gestellt. Dort wird die Existenz der Schwachstelle zwar best\u00e4tigt, die Verantwortung aber auf Microsoft Excel und die Mitarbeiter der Gesundheits\u00e4mter geschoben. Ein Update soll die L\u00fccke nun schlie\u00dfen. Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), kommentiert in diesem Tweet<\/a> den Vorgang und \u00e4u\u00dfert gegen\u00fcber Netzpolitik<\/a>: Wie immer wurde das Risiko herunter gespielt und die Schwachstelle sogar geleugnet. Die Schwachstellen sind eklatant, der Umgang damit katastrophal. Dieses Unternehmen hat kein Vertrauen verdient. Neumann fordert, die Vertr\u00e4ge wegen mangelhafter Leistung abzuwickeln und die Notbremse zu ziehen, um das Projekt zu stoppen.<\/p>\n Das \u00c4rzteblatt zitiert hier<\/a> eine Sprecherin des Bun\u00addes\u00adge\u00adsund\u00adheits\u00admi\u00adnis\u00adter\u00adiums (BMG), die zu m\u00f6glichen Konsequenzen befragt wurde. Denn die Luca-App wurde von vielen politisch Verantwortlichen als gelungene Erg\u00e4nzung zur offiziellen Corona-Warn-App betrachtet. Die Sprecherin verwies an die Bundesl\u00e4nder, die f\u00fcr Millionen Lizenzen der Luca-App gekauft haben. Neben Netzpolitik<\/a> geht heise in diesem Artikel<\/a> auf den Sachverhalt ein.<\/p>\n \u00c4hnliche Artikel:<\/strong> \u00dcber die Luca-App zur Erfassung der Besuche von Orten, an denen Coronainfektionen passieren k\u00f6nnen, hat man sich ein Sicherheitsrisiko par Excellence ins Haus geholt. Denn die App erm\u00f6glicht eine Code-Injektion in die Daten, die an Gesundheits\u00e4mter \u00fcbertragen werden. Das haben … Weiterlesen Die Luca-App<\/a>, so die Wikipedia, ist eine kommerzielle App f\u00fcr Mobilger\u00e4te, die zur Datenbereitstellung f\u00fcr eine Kontaktpersonennachverfolgung und f\u00fcr die Risikokontaktbenachrichtigung im Rahmen einer Pandemie eingesetzt werden kann. Die App steht aber seit Monaten wegen Sicherheitsl\u00fccken, Offenlegung des Codes und Datenschutzm\u00e4ngeln in der Kritik. Experten raten definitiv vom Einsatz dieser App ab. Trotz der in den letzten Wochen bekannt gewordenen M\u00e4ngel wurden die Lizenzen der App von mehreren Bundesl\u00e4ndern eingekauft. Nach Angaben der Betreiber der Luca-App haben sich mittlerweile Schleswig-Holstein, Mecklenburg-Vorpommern, Berlin, Hamburg, Bremen, Niedersachsen, Sachsen-Anhalt, das Saarland, Rheinland-Pfalz, Hessen, Brandenburg, Baden-W\u00fcrttemberg und Bayern f\u00fcr den Einsatz der App entschieden. Nun ist quasi der n\u00e4chste GAU passiert, denn eine Code-Injection in die Daten, die die App an Gesundheits\u00e4mter \u00fcbertr\u00e4gt, ist das Ausf\u00fchren von Schadcode auf Rechnern des Gesundheitsamtes m\u00f6glich.<\/p>\n
Code-Injection \u00fcber Excel-Daten<\/h2>\n
![](\"https:\/\/i.imgur.com\/kSKeQuD.png\")
<\/a><\/p>\nL\u00fccke gefixt – wann kommt der n\u00e4chste GAU?<\/h2>\n
\nLizenz\u00e4rger: Die Luca-App und die Open Source-Klippen<\/a>
\nDer Schweizer Impfpass: Gescheitert an der Sicherheit<\/a>
\nSchwachstellen bei COVID-19-Impfportalen und beim SORMAS-System<\/a>
\nCorona-Warn-App 2.0 mit Check-In-Funktion<\/a>
\nBetrug mit vermeintlicher Pfizer-Corona-Impfumfrage<\/a>
\nBetrugsangebote f\u00fcr Corona-Speicheltests in Deutschland<\/a>
\nCorona-Warn-App 2.0 mit Check-In-Funktion<\/a>
\nCorona-Tests: Datenleck legt pers\u00f6nliche Daten und Ergebnisse offen<\/a>
\n\u00dcbermittelt die Corona-Warn-App des RKI ungewollt Benutzerdaten an Google?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"