Die Probleme rund um die Luca-App reißen nicht ab: Wie ein Sicherheitsforscher nun demonstriert, lässt sich mit dem Luca-System Schadcode bei Gesundheitsämtern einschleusen, um Daten zu entwenden. Die Entwickler hatten kürzlich noch beteuert, dass eine solche Attacke nicht möglich sei.
Luca-App: Infizierung von Gesundheitsämtern möglich
Die zur Kontaktnachverfolgung und zum Check-in genutzte App Luca steht schon länger in der Kritik. Nach Meinung vieler Experten würde zu wenig Wert auf Sicherheit gelegt. Wie einfach die App missbräuchlich verwendet werden kann, hat nun der Sicherheitsexperte Markus Mengs demonstriert. Ihm zufolge ist es vergleichsweise einfach möglich, bei der Übertragung an Gesundheitsämter Schadcode einzufügen.
Im schlimmsten Fall könnten Angreifer die gravierende Sicherheitslücke nutzen, um Daten aus den Gesundheitsämtern zu entwenden oder gleich eine Ransomware-Attacke in die Wege zu leiten. Die IT der Gesundheitsämter könnte vollständig lahmgelegt werden, so die Befürchtung. Besonders schwierig sei eine solche Attacke zudem nicht, heißt es.
Die Sicherheitslücke in der Luca-App besteht darin, dass im Formular zur Eingabe von Kontaktdaten diverse Sonderzeichen ohne Überprüfung einfach akzeptiert werden. Hier ließe sich vergleichsweise einfach Code einschleusen. Erst kürzlich hatte Luca-Chef Patrick Henning beteuert, dass kein Risiko bestehen würde: „Eine Code Injection über den Namen ist bei Luca im Gesundheitsamt nicht möglich“, sagte er Anfang Mai in einem Interview mit der Zeit, wie WinFuture berichtet.
Wie funktioniert Luca? Die Antwort gibt es hier im Video:
auf YouTube
Luca-App: Malware für Gesundheitsämter möglich
Dem Sicherheitsexperten Mengs ist es bei seinen Tests gelungen, über das Backend von Luca eine Ransomware auf einem simulierten Rechner eines Gesundheitsamtes einzuschleusen und – nach einer Warnmeldung – auch zu aktivieren.
Schon im April 2021 hatte der Chaos Computer Club vor Luca gewarnt. Die App würde über „dilettantische Sicherheitslücken“ verfügen. Die Risiken der Nutzung seien „völlig unverhältnismäßig“, so die Kritik von über 70 Sicherheitsforschern.
