Luca, die vielgepriesene und gleichsam in den Heilsbringerstatus gelobte Corona-Tracking-App, die nunmehr auch im Rheinisch-Bergischen Kreis verwendet werden wird, weist nach Untersuchungen von IT-Experten Schwachstellen auf, die beispielsweise Angreifer Bewegungsprofile auslesen ließ. Der Chaos-Computer-Club CCC fordert ein Moratorium für die App.
Die Luca-Schlüsselanhänger sollen Personen ohne Smartphone ermöglichen, das Luca-System zur Corona-Kontaktnachverfolgung zu nutzen. Insgesamt sollen laut dem Bericht über 100.000 Stück im Umlauf sein. Mittels QR-Codes erfaßt Luca die Kontaktdaten und Check-In-Zeiten von Menschen, um etwa in Geschäften oder Restaurants und Cafés die Daten zur Corona-Kontaktnachverfolgung anzugeben. Eine Verschlüsselung soll sicherzustellen, dass die Daten nur von Gesundheitsämtern im Rahmen einer Kontaktverfolgung eingesehen werden können. Nun aber hat man herausgefunden, daß die im QR-Code eines Schlüsselanhängers gespeicherten Registrierungsinformationen des Nutzers auszulesen sind.
Zudem sei es möglich gewesen, die ausgelesenen Informationen in die Luca-Webapp einzuspielen und damit die vollständige Check-In-Historie des Schlüsselanhängers aus den letzten 30 Tagen zu erhalten, wie Heise+ berichtet. “Wer einmal die Registrierungsinformationen ausgelesen habe, könne künftig außerdem in Echtzeit überwachen, wann und wo sich der Schlüsselanhänger eincheckt.”
Eine gravierende Sicherheitslücke, “da auch sensible Orte wie religiöse Einrichtungen, Selbsthilfegruppen oder politische Versammlungen betroffen sein könnten”.
Der Chaos Computer Club (CCC) fordert ein “umgehendes Moratorium” für die Luca-App. Die Schwachstelle zeuge “von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit”, bemängelt CCC-Sprecher Linus Neumann. Der CCC verweist dabei auch auf eine Analyse von Sicherheitsforschern der Hochschule EPFL in Lausanne, die dem Luca-System wegen der zentralen Datenhaltung großes Missbrauchspotenzial attestiert hatten.
Zudem fordern die Hamburger Computerexperten eine Untersuchung des Bundesrechnungshofs, weil die App trotz bekannter Sicherheits- und Datenschutzmängel und ohne öffentliche Ausschreibung mit Steuergeldern lizenziert werde.
Als weiteren Kritikpunkt hatte zuletzt der Bayerische Blinden- und Sehbehindertenbund aufgebracht, daß Luca nicht barrierefrei sei. Sowohl unter iOS als auch Android gebe es Probleme bereits bei der Einrichtung der App.