iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 545 Artikel

Macher ignorierten Gefahr

Luca-App: Angriffe auf Gesundheitsämter waren möglich

Artikel auf Mastodon teilen.
65 Kommentare 65

Die direkte Verbindung, die die privatwirtschaftliche Luca-App zur Kontakterfassung mit den Gesundheitsämtern der an das Luca-System angeschlossenen Bundesländer aufbaut, hat Angriffe auf Behördenrechner möglich gemacht.

Luca App

Dies demonstriert das eingebettete YouTube-Video des Security-Spezialisten Marcus Mengs, das die Schwachstelle beleuchtet, die nicht nur ein Abfangen privater Daten, sondern auch Ransomware-Angriffe auf die Ämter möglich gemacht habe.

Bei dem im Video gezeigten Angriff spielen Nutzer der Luca-App den angeschlossenen Gesundheitsämtern schadhafte Informationen zu, die beim Daten-Export zur Kontakt-Nachverfolgung (eine alltägliche Routine-Handlung in den Gesundheitsämtern) dafür sorgen, dass Excel entsprechende Tabellen auf entfernte Server überträgt oder anderen, gezielt übertragenen Schadcode ausführt und so die Rechner der Gesundheitsverwaltung kompromittieren kann.

Macher ignorierten Gefahr

Brisant daran ist: Die im beschriebenen Fall ausgenutzte CSV-Injection war noch vor wenigen Wochen von Luca-Chef Patrick Henning als „nicht möglich“ abgetan worden. Dieser hatte in einem Interview mit ZEIT ONLINE erklärt sichergestellt zu haben, dass hier kein Schaden entstehen könne. Nun stellt sich heraus: Die Gesundheitsämtern waren durchaus verwundbar.

Inzwischen haben die Luca-Verantwortlichen auf die neue Lücke mit einem Blogbeitrag reagiert, in dem versichert wird, dass inzwischen weitere Maßnahmen getroffen wurden, um in Zukunft den Missbrauch des eigenen Systems zu umgehen. Derzeit gehen die Luca-Macher davon aus, dass es unwahrscheinlich sei, „dass Schaden durch einen derartigen Angriff entstanden ist“, schließen dies allerdings auch nicht aus.

Der Chaos Computer Club hat derweil mit Unverständnis auf die zögerliche Reaktion der Luca-Macher reagiert. Diese wussten seit Wochen von der potenziellen Lücke, hätte diese bislang jedoch ignoriert.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
27. Mai 2021 um 14:18 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    65 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Ich hoffe der Mist wird endlich abgeschafft und die „Macher“ von Luca werden bestraft

    • Wenn du in Deutschland mit offizieller Genehmigung Mist baust wird dir der hintern vergoldet. Siehe Scholz, Scheuer und Luca.

    • hucklebehrryfinn

      Lass dich nicht aufhalten, die Macher anzuzeigen.
      Aber ob es da wirklich was zu verklagen gibt, ist fraglich. Zumal sich jemand als Geschädigter offenbaren müsste.
      Der Datenklau könnte vielleicht nachvollzogen werden. Ransomware Angriffe sind ja öffentlich zu machen. Also hätten wir doch was davon mitbekommen.
      Ich finde es super, dass es Menschen gibt, die gezielt nach Lücken suchen und finden…. und an die betreffenden Stellen weitermelden. Die Welt wird nicht dadurch sicherer, weil keiner mehr Fehlerfreie Software veröffentlicht, sondern dadurch, dass viele über die Arbeit schauen und helfen Fehler zu erkennen und abzustellen. Der künstliche Hype um die Luca App war nötig, damit landesweit eine App priorisiert war. So musste man sich nur um eine App kümmern, diese abzudichten. Stell dir vor, was erst los wäre, wenn es 5 oder noch mehr Apps in verschiedenen Regionen und regionalen Ausdehnungen geben würde. Da kann schneller ein Fehler unentdeckt bleiben und fleißig Daten abfischen.

  • Seit ein paar Monaten ist mein Fanta-Image kaputt :-/

    Echt schade. Die standen für was besseres. Sehr naiv von mir

  • Müsste man nicht nur das +Zeichen am Anfang eines Formulareintrags ausblenden?

  • Ich bin mal so gut: ich denke nicht, dass die Macher die Gefahr ignoriert haben. Sie hatten nur einfach keinen besseren Code gefunden den sie klauen konnten…
    Hoffe Smudo macht jetzt ein entschuldigungslied. Das ist das mindeste!

  • Jaja Privatwirtschaft ist immer besser…… Das hörten wir bereits vor den Veräußerungen von Wasserwerken, Müllabfuhren u. ä. an die Privatwirtschaft….. seit dem bezahlen wir mehr als vorher und der Allgemeinheit gehört nichts mehr……Bravo !

    • prettymofonamedjakob
      • Mit den Steuergeldern der Bürger….aber ganz ehrlich…ich würde auch gerne das Geld der Anderen zum Fenster rauswerfen, vor allem wenn es für mich keinerlei Konsequenzen hätte! Da wird schnell die Unschuldsmiene aufgesetzt, mit dem Finger auf den Gegenüber gezeigt und schon ist man raus der Verantwortung! Es ist und bleibt zum k…..

  • Conchita Tufuwurst

    Ich wusste gar nicht dass man Fax Geräte angreifen kann. ;-)

  • Luca einstampfen!
    Die Corona-App war schon teuer genug für den Steuerzahler und sollte jetzt alles abdecken!
    Länderchefs, due ohne Ausschreibung für Luca Millionen abgedrückt haben sollten auch Konsequenzen ziehen!

  • Ich hab erst hierdurch erfahre, dass man EXCEL sogar mit CSV Dateien angreifen kann. Weiß jemand ob Numbers Sucherin ähnliches Problem hat? „=CMD()“

  • Niemals Luca
    Die CoronaWarnApp kann das auch. Wurde schon teuer durch den Staat entwickelt, nach DSGVO. Warum soll ich mir dann noch eine App laden von der ich weiß das teile des Codes von anderen Entwicklern ohne deren Wissen kopiert wurde. Außerdem stört mich diese nicht transparente Kommunikation über diese Fehler. In meinem Kreis wurde das auch noch gekauft!! Und zwar kurz nachdem bekannt wurde das der Code teilweise unrechtmäßig kopiert wurde. Mir kommt die Luca-App nicht ins Telefon.

  • Wenn die (BSI-) Empfehlungen, u.a. Makros zu deaktivieren UND Sicherheitswarnungen ignoriert werden, dann besteht die Gefahr, dass Schadsoftware aufgespielt wird. What’s new?

    • Die Sicherheitswarnung, die Excel hier ausspielt endet mit dem Satz „Aktivieren Sie diese Inhalte nur, wenn Sie der Quelle dieser Datei vertrauen“.

      Diese Quelle ist in diesem Fall das Luca Portal, von der man sich die Datei runterlädt. Was sollen die Gesundheitsamtmitarbeiter denn dann machen? Einfach nach Hause gehen?

  • Luca hin oder her – ich will die nicht verteidigen.

    Das ist kein Luca Problem, sondern ein Excel Problem.
    Und keiner (!) sollte Makros aktiviert haben und keiner sollte bei fremden in Dateien die fette Warnung ignorieren und trotzdem Makros ausführen.
    Das ist fahrlässig.
    Normalerweise hat man dazu eine Policy, die sowas im gesamten Unternehmen ausschaltet.

    • Es könnte die Luca App aber recht simpel verhindern indem es die „gefährlichen“ Codes nicht in der DB zulässt und somit nicht ausspielt.

    • Nein, ist mal wieder nen Politiker-Problem, weil sie lieber auf ihre „Berater“ und die Hersteller der Produkte hören, die sie einkaufen anstatt auf andere Fachleute zuzugehen und das vorher abchecken lassen.
      a) ist es nicht deren Kohle, die verpulvert wird
      b) sitzen sie ggf. sogar noch im Vorstand der entspr. Firma oder haben anderweitige Interessen („Provision“ etc.)
      c) haben sie ja nichts zu befürchten. Politiker werden nie bestraft, gefeuert oder sonstwas.

    • Ganz bestimmt nicht, da Unternehmen die Makrofunktionen in Excel nämlich sehr gerne dazu nutzen, wozu sie ursprünglich gedacht sind.

    • Excel ohne VBA? Da kann man ja gleich einen normalen Taschenrechner benutzen (Übertreiben veranschaulicht). Kenne aus eigener Berufserfahrung kein Unternehmen, in dem der Einsatz von Makros grundsätzlich verboten bzw. gar deaktiviert ist. Würde viel zu viel Zeit kosten, alles manuell machen zu müssen.

    • Das Problem ist aber, dass die Daten über einen scheinbar vertrauensvolle Quelle kommen. Daher könnten Mitarbeiter*innen in den GAs dazu geneigt sein, die Warnungen einfach abzunicken.

      Wenn Luca keine Makros braucht, dann sollten sie diese auch ausfiltern. Dazu hatten die Luca Mache ja schon vor 3 Wochen erklärt, dass dies durch das verwendete React Framework geschieht – wieder nur heisse Luft.

      Luca App – geschrieben von Pfuschern, gekauft von Ahnungslosen.

  • Alice O'Melleth

    Mich würde interessieren, wann der Luca-Check-in endlich in die Corona Warn-App eingebunden wird. In Bielefeld ist Luca mancherorts Pflicht und NRW hat sich von Luca quasi schon verabschiedet…

  • Ist hier eigentlich auch jemand vom Gesundheitsamt unterwegs? Ich habe den Eindruck, hier lamentieren nur Leute, die von der Schwachstelle überhaupt nicht betroffen sind.
    Warum soll ich die Luca App nicht nutzen? Die Schwachstelle ist doch nicht in der App.

    • Und das die Angreifer alle deine Daten bekommen ist okay?
      So viel zu „nicht betroffen“ ^_^

      • Leider haben viele keine Ahnung und lesen vieles nicht.

        Ich war gestern mal in Hamburg und an jedem Shop haben die Luca Zettel gehangen. Wir waren in keinem Laden. Schade, aber so ist das eben wenn man keine App auf dem Telefon hat.

        Mich hat auch gewundert, dass überall in der Einkaufsmeile im ShoppingCenter keiner Augen im Kopf hat.
        Es sind überall Pfeile auf dem Boden an den Wänden auf Schildern und die Leute laufen auf der falschen Seite. In Bereichen so gross auf dem Fussboden die Maskenzone angekündigt wurden haben so viele Menschen keine Masken getragen.

        Ich verstehe nicht wie die Hamburger da auf ihre niedrigen Werte gekommen sind. Wir im Landkreis liegen doppelt so hoch und haben gerade mal einen Ausbruch in einem Altenheim (da wollten sich einige nicht impfen lassen).

      • @tomtim: die Zahlen in Hamburg sind wirklich sehr gut. Auch wenn viele über den Ersten Bürgermeister meckern, er hat sich an die Bundes Absprachen gehalten und war/ist konsequent.

        Zu Luca und den Läden. Natürlich kannst du auch einen Zettel ausfüllen, wenn du die App nicht nutzen willst.

  • Mir ist es einfach unverständlich wie es bei der Luca App ausreicht dass ein Smudo durch ein paar Talkshows tingelt und fast jeder MP eines Bundeslandes sofort ungeprüft diesen halbgaren Schrott kauft und an seine Gesundheitsämter dübelt. Dagegen wurde die Corona WarnApp fast zu Tode kastriert für den Datenschutz. Interessiert bei Luca anscheinend keine Sau. :-((

    • Hier kommt die Laus!
      • Zustimmung auch von mir! Ich wünschte manchmal, ich wäre Politiker und würde fürs Rumsitzen und/oder Mistbauen fürstlich bezahlt. Dann wird mir bewusst, dass ich zwar nicht reich bin, aber zufrieden in den Spiegel schauen kann.

        Jetzt habe ich mich zu einem echt hässlichen Kommentar hinreißen lassen. Aber ein Körnchen, äh, Kornhäufchen, Wahrheit steckt leider drin. Zu viele Politiker vertreten nicht das Volk, sondern nur sich selbst. Ich glaube daran, dass das nicht so bleiben muss!

  • Ich weiß warum ich die App schon vor einigen Wochen gelöscht habe!

  • Das bei solchen eklatanten Sicherheitsmängel die Politik immer noch daran festhält, kann nur mit dem Interesse der Sicherheitsbehörden zu tun haben. Kein Mensch mit einem gesunden Menschenverstand kann so eine Software zu Nutzung freigeben, und dann auch noch für die Gesundheitsämter. Das ist wirklich ein Skandal.

    • Jep! Da bin ich bei dir.

      Wir haben ja alle nichts zu verbergen ;)
      Pandemie hin oder her. Sie ist die perfekte Grundlage für umfassendes Datamining und der Startschuss für Abschaffung des Bargeldes.

      Wer noch vor 10 Jahren Beträge unter 20€ mit der Bankkarte bezahlt hat, wurde von seiner Bank in der Bonität runter gestuft. Mal ganz zu schweigen, das bargeldlose Zahlungen bis 50€ ohne Pin getätigt werden konnten.

      Die Staaten wollen einen gläsernen Bürger und da spielt ihnen Corona voll in die Hände.

  • Die beste App die es gibt. Ihr in eueren Zimmern die kein Tageslicht sehen sondern nur Unmut verbreiteten wünsche ich das ihr alle gesund bleibt! Es gibt Menschen die auf das öffentliche Leben angewiesen sind und denen hilft diese App. Also klagt weiter an und verbreitet weiter diese Meldungen.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38545 Artikel in den vergangenen 6275 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven