Follow

Die "LucaApp" macht im Grunde alles, was die Corona-Warn-App bewusst nicht macht.

Personbezogene Daten sammeln, alles auf zentralen Servern speichern, alles als privates Unternehmen mit geheimen Sourcecode händeln.

Von potentiellen Schwachstellen und fragwürdigen Design Entscheidungen in der Kryptographie dazu, mal abgesehen.

Also bitte Brandbriefe schreiben, die das nicht akzeptieren, ansonsten hilft nur nachfragen, ob die App eingesetzt wird und wenn ja, woanders hingehen 😕

Das Sicherheitskonzept der app sagt selbst:

"Guarantees Provided by luca[…] luca is designed to prevent […] luca itself […] from accessing this data."

Und das ist schlicht unmöglich wenn Luca CA, Binary provider und Datenstore ist.

Es wird also eine Garantie für etwas ausgegeben, was man gar nicht garantieren kann.

Davon abgesehen, dass das System das Senden einer SMS aus dem Backend heraus vorsieht und somit auf jeden Fall zugriff auf eine Telefonummer hat.

luca-app.de/securityconcept/in

@sheogorath Zum Thema Telefonnummer: Ich hab mir die App vorhin mal kurz heruntergeladen um mir da mal ein paar Dinge anzusehen. Die will schon beim initialen Setup eine Telefonnummer um die anzurufen. Also eine Nummer muss man der App so oder so gegeben und es gibt keine Garantie dass die nicht auch irgendwo gespeichert wird.

@sebastian Insbesondere bescheuert ist die ganze Telefonnummernverifizierung, da sie scheinbar nicht mal funktioniert. Siehe: twitter.com/LilithWittmann/sta

@sheogorath Ich weiß. Ich hatte die App auch in meiner Test-Umgebung am laufen, weil ich ein paar Sachen mal selber nachsehen wollte.

@sebastian Irgendwelche nennenswerten Findings? Bin da immer interessiert.

@sheogorath Ne nicht wirklich. Ist viele Monde her das ich mich etwas mehr mit android app reverse engineering auseinander gesetzt habe. Wirkt gerade wie ein guter Zeitpunkt da mal wieder rein zu kommen. Raus finden was da alles in den letzte 5-6 Jahren passiert ist und welche tools man heute nimmt.

@oldie Das ist leider die Frage, die ich nicht beantworten kann und die mich auch umtreibt.

Ich bin aber der festen überzeugung, dass es zumindest in den nächsten paar Monaten keine Pflicht zur Verwendung digitaler Meldewege geben wird und somit zumindest ein paar Stellen noch auf Stift und Papier und dann hoffentlich bald, auf einen "besseren/vertrauenswürdigeren" Meldeweg per CWA setzen.

@oldie @sheogorath Naja, kein Restaurant, Studio oder was auch immer wird darauf bestehen, dass man nur mit einem Smartphone hineinkommt. Es bleibt also immer noch, wie früher, Kugelschreiber und Papier ;-)

@m0urs @oldie Das ist leider ein möglicher Trugschluss, denn die "Luca-App" bietet explizit an, dass der Betreiber die Daten für den Kunden einpflegt, wenn dieser z.B. kein Smartphone hat oder die App eben nicht (selbst) benutzen möchte.

Siehe screenshot bzw. luca-app.de/locations/

@sheogorath Bubble meinte vorhin, dass der Quellcode in Kürze veröffentlicht wird.

@oliver Jop, ist auch hier so angekommen. Allerdings wurde auch gemunkelt, dass das bis April dauert. von daher 🤷 Solange der Source code nicht da ist, ist es proprietär. Ankündigung hin oder her.

Dennoch Danke für den Hinweis :)

@sheogorath Oh ja, der Trööt ist von gestern. Hatte übersehen, dass das "nur" rein re-trööt war.
Bin zu dem Teil tatsächlich hin- und hergerissen.

Sign in to participate in the conversation
Sheogorath's Microblog

This is my personal microblog. It's filled with my fun, joy and silliness.