Luca-App auf dem Handy geöffnet (Foto: SR)

Neue Sicherheitslücke bei der Luca-App

Markus Person   26.05.2021 | 16:08 Uhr

Die Luca-App solle alles einfacher machen: Coronakontakte melden, ein- und auschecken in der Gastro, selbst die Familienfeier konnte man da angeben. Aber Experten warnen seit dem Start der App vor Sicherheitslücken. Jetzt wurde nachgewiesen: Über die Luca-App könnten nicht nur persönliche Daten ausspioniert, sondern sogar ganze Gesundheitsämter lahmgelegt werden.

Neue Sicherheitslücke bei der Luca-App
Audio [SR 3, Markus Person, 26.05.2021, Länge: 03:06 Min.]
Neue Sicherheitslücke bei der Luca-App

Ein im Internet veröffentlichtes Youtube-Video verdeutlicht eine gravierende Sicherheitslücke in der Luca-App. Der Sicherheitsforscher Marcus Meng verschafft sich dabei über die App Zugang zu einem, in diesem Beispiel noch fiktiven, Gesundheitsamt.

Über die QR-Codes, die auf Veranstaltungen von den Besuchern mit der Luca-App eingelesen werden, registriert er sich als Teilnehmer. Wird eine Person später positiv auf Corona getestet, werden alle Besucher, die sich über die App für das Event angemeldet haben, in einer Datei zusammengeführt. Die Daten darin kann dann ein Mitarbeiter des Gesundheitsamts in eine Excel-Liste transferieren, um die Kontaktnachverfolgung zu starten.

Schad-Software kann installiert werden

Ist die Excel-Liste einmal geöffnet, kann der Angreifer mit einer Schad-Software nicht nur alle Kontaktdaten der betroffenen Personen abgreifen, sondern er kann den Zugang auch nutzen, so Ben Stock vom Helmholtz Zentrum für Informationssicherheit, CISPA, um eine Schad-Software auf dem System zu installieren.

Schon vor Wochen hatten Stock und andere Forscher auf dieses und weitere Sicherheitsprobleme in der Luca-App hingewiesen. Marcus Meng hat nun ein gravierendes mit seinem Programm sichtbar gemacht, so Stock.

Auch Erpressungsversuche möglich

"Das kann entweder sein, dass man den Rechner nur kapert und dann benutzt, um weitere Angriffe im Gesundheitsamt zu starten oder dass man einfach die Festplatte verschlüsselt und sagt: Wir hätten gerne ein paar hunderttausend Euro, damit sie wieder an ihre Daten ran können. Das wäre beim Gesundheitsamt natürlich der Supergau."

Über dieses Thema wurde auch in der Sendung "Region am Nachmittag" auf SR 3 Saarlandwelle am 26.05.2020 berichtet.

Artikel mit anderen teilen


Push-Nachrichten von SR.de
Benachrichtungen können jederzeit in den Browser Einstellungen deaktiviert werden.

Datenschutz Nein Ja