Auf die bisher gefundenen Schwachstellen der Luca-App weist ein das Update des CCC am 2021-04-13 21:04:42 hin.
- Bei der Registrierung soll die Telefonnummer per SMS „validiert” werden. Millionen Euro müssen verschiedene Bundesländer für den Versand aufbringen. Eine handwerklich fehlerhafte Implementierung macht die Validierung jedoch unwirksam. Die Folge: Das massenhafte Erstellen von Fake-Accounts ist ebenso einfach wie deren Check-in an beliebigen Orten. Es droht nicht weniger als der Kollaps des kompletten Luca-Systems.
- Die für Menschen ohne Smartphone zu hunderttausenden angeschafften Luca-Schlüsselanhänger verraten bei jedem Scan die vollständige zentral gespeicherte Location-Historie. „Wer den QR-Code scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher so waren”, bestätigte Linus Neumann die heute von Bianca Kastl und Tobias Ravenstein veröffentlichte Schwachstelle „Lucatrack”. „Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit. Hier wurde – mal wieder – mit der heißen Nadel gestrickt, statt eine wohlüberlegte Lösung zu bauen”, so Neumann weiter.
- Entgegen den Versprechungen des Sicherheitskonzepts ist das Luca-Backend potenziell jederzeit in der Lage, einzelne Geräte eindeutig zu identifizieren und ihnen alle Check-ins zuzuordnen.
- Als Musikant schimpft Smudo gern auf die „Umsonst-Gesellschaft” und die Verletzung von Urheberrechten. Für die Luca-App wurden jedoch fremde Software-Komponenten unter dreister Missachtung der Lizenzbedingungen verwendet. Ein „bedauerlicher Fehler“, der professionellen Programmierern einfach nicht passiert.
- Bis heute ist nur ein Teil des Quellcodes des Gesamtsystems öffentlich. Inwieweit dieser Teil überhaupt noch mit der produktiven Umgebung übereinstimmt, ist unklar.
- Die App erfüllt Mindeststandards der Barrierefreiheit nicht. Der App-Zwang stellt eine besonders schwere Form der Diskriminierung dar.