Die "LucaApp" macht im Grunde alles, was die Corona-Warn-App bewusst nicht macht.

Personbezogene Daten sammeln, alles auf zentralen Servern speichern, alles als privates Unternehmen mit geheimen Sourcecode händeln.

Von potentiellen Schwachstellen und fragwürdigen Design Entscheidungen in der Kryptographie dazu, mal abgesehen.

Also bitte Brandbriefe schreiben, die das nicht akzeptieren, ansonsten hilft nur nachfragen, ob die App eingesetzt wird und wenn ja, woanders hingehen 😕

Follow

Das Sicherheitskonzept der app sagt selbst:

"Guarantees Provided by luca[…] luca is designed to prevent […] luca itself […] from accessing this data."

Und das ist schlicht unmöglich wenn Luca CA, Binary provider und Datenstore ist.

Es wird also eine Garantie für etwas ausgegeben, was man gar nicht garantieren kann.

Davon abgesehen, dass das System das Senden einer SMS aus dem Backend heraus vorsieht und somit auf jeden Fall zugriff auf eine Telefonummer hat.

luca-app.de/securityconcept/in

@sheogorath Zum Thema Telefonnummer: Ich hab mir die App vorhin mal kurz heruntergeladen um mir da mal ein paar Dinge anzusehen. Die will schon beim initialen Setup eine Telefonnummer um die anzurufen. Also eine Nummer muss man der App so oder so gegeben und es gibt keine Garantie dass die nicht auch irgendwo gespeichert wird.

@sebastian Insbesondere bescheuert ist die ganze Telefonnummernverifizierung, da sie scheinbar nicht mal funktioniert. Siehe: twitter.com/LilithWittmann/sta

@sheogorath Ich weiß. Ich hatte die App auch in meiner Test-Umgebung am laufen, weil ich ein paar Sachen mal selber nachsehen wollte.

@sebastian Irgendwelche nennenswerten Findings? Bin da immer interessiert.

@sheogorath Ne nicht wirklich. Ist viele Monde her das ich mich etwas mehr mit android app reverse engineering auseinander gesetzt habe. Wirkt gerade wie ein guter Zeitpunkt da mal wieder rein zu kommen. Raus finden was da alles in den letzte 5-6 Jahren passiert ist und welche tools man heute nimmt.

@sheogorath
Kann doch jeder dubiose Anbieter mit Krypto-Palaber daherkommen und behaupten, dass bei ihm alles sicher und verschlüsselt sei, um die ahnungslose Masse zu verquaksalbern...
Wenn jemand mit Sicherheit wirbt, dann muss das auch überprüfbar sein.
Ansonsten sind solche Versprechen nichts wert!

Sign in to participate in the conversation
Sheogorath's Microblog

This is my personal microblog. It's filled with my fun, joy and silliness.