Luca App Source Code Audit V: Luca ohne Computerkenntnisse austricksen

Wollen wir's nicht einfach nen Totalschaden nennen?

Bei der Corona Warn App hatten wir unter anderem folgende Diskussion:

A: Hey, hier ist unsere App...
B: Werd ich nicht installieren.
A: Aber da muss jeder mitmachen, sonst funktioniert sie nicht.
B: Mag sein, aber ich habe kein Smartphone auf dem die läuft.
A: Hier gehts um Leben und Tod. Also knauser nicht rum und kauf dir eins.
B: Sieht mein Hartz IV Satz aber nicht vor!
A: *tilt*

Natürlich hat uns die Tatsache, dass wir von vorne herein wussten, dass es nicht funktionieren kann, uns nicht davon abgehalten, trotzdem einen mittleren 7 stelligen Betrag an Steuergeldern in das Projekt zu versenken.

Bei Luca durfte derselbe Fehler also dann nicht nochmal passieren. Die Ausrede “ich habe aber gar kein Smartphone” zieht nun nicht mehr:

...
B: Sieht mein Hartz IV Satz aber nicht vor!
A: Hier hast du 'nen Anhänger mit QR Code. So, und der ist jetzt Pflicht. Basta!

Natürlich ist das in der Praxis dann amüsant anzusehen, wenn Gast und Gastgeber ihrer Pflicht nachkommen, indem sie beide ausgedruckte QR Codes verwenden und diese dann… aneinander reiben?

Bis hierhin ist es noch lustig.

Episode II: Angriff der Klonkrieger

Ein Gastgeber wird vermutlich Einnahmen generieren und damit keine Ausrede haben, sich keinen Scanner leisten zu können. Aber was genau machen wir eigentlich, wenn ein Gast sich so einen Schlüsselanhänger holt, ihn mit einem Burnerphone auf “Darth Vader” registriert und danach mit Fotokopierer, Schere und Bastelleim Nachbildungen für seine querdenkenden Kumpels baut?

Die Antwort lautet: gar nichts!

Ein Gastgeber kann die Identität eines Anhängerinhabers nicht ohne Freigabe des Gesundheitsamtes einsehen (das ist das zentrale Verkaufsargument, warum Luca besser sein soll als Papierlisten). Ob ein Gast seinen Schlüsselanhänger wirklich auf sich selbst registriert, unter der Parkbank gefunden oder von jemand Anderem kopiert hat ist beim Checkin nicht nachvollziehbar!

Aber einen gefälschten Schlüsselanhänger würde man doch sofort erkennen, oder?

Ein Anhänger (bereits registriert), der nicht der Spezifikation entspricht. Die Seriennummer ist sensibel (wird nach der Registrierung benötigt, um dem Gesundheitsamt Zugriff zu geben) und soll deshalb laut Sicherheitskonzept auf die Rückseite gedruckt werden. Quelle: Rathaus Rostock
Um einen kopierten Schlüsselanhänger zu erkennen, müssten mindestens folgende drei Voraussetzungen erfüllt sein:

  1. Das genau Aussehen ist einheitlich spezifiziert (ist es nicht. Jede Gemeinde kann und soll ihr eigenes, deutschlandweit gültiges, Ding drucken).
  2. Es sind Sicherheitsmerkmale wie bei Geldscheinen vorhanden, z.B. die Verwendung von Spezialtinte oder ein Hologramm (sind sie nicht. Das Ding soll billig sein).
  3. Der Gastgeber hat einen Anreiz, genau hinzuschauen (hat er nicht. Würde bedeuteten, dass er auf Einnahmen verzichten und sich mit Gästen streiten muss).

Selbstverständlich kann der QR code eines Schlüsselanhängers auch in einen Screenshot der App montiert werden, wodurch die ersten beiden Punkte hinfällig werden. Der Scanner kann auch nicht erkennen, ob er von einem Bildschirm oder einer Plastikkarte liest. Er kann lediglich dem Gastgeber mitteilen, welchen Typ Code (App oder Anhänger) er gesehen hat und auf dessen Aufmerksamkeit hoffen (oder auch nicht. Siehe dritter Punkt).

Angriffszenario: Phishing Ein Querdenker positioniert sich am Rande einer Fußgängerzone, um Rentner anzusprechen und (unter Vorwand) deren Anhänger mit dem Ziel zu scannen, Kopien auf Blanks zu drucken. So kopierte Schlüsselanhänger werden für die Kontaktverfolgung automatisch unbrauchbar. Opfer des Betrugs werden vom Gesundheitsamt gegebenenfalls in Quarantäne geschickt, obwohl sie nie die entsprechende Veranstaltung besucht haben.

Aber einen Schlüsselanhänger kann man doch bestimmt sperren, oder?

Um einen Schlüsselanhänger zu sperren, müsste man erstmal seinen Missbrauch nachweisen. Das geht nur, wenn mit ihm etwas physikalisch unmögliches geschieht, wie z.B. die gleichzeitige Nutzung in Hamburg und München. Ein mehrmaliges Betreten derselben Veranstaltung ist (bis zu einem gewissem Grad) unverdächtig. Vielleicht ist der Gast ein paar mal zum Rauchen vor die Tür gegangen oder der Scanner wurde falsch bedient (an Supermarktkassen passiert es regelmäßig, dass Artikel versehentlich mehrfach gescannt wird)?

Aber…

So, liebe Macher, Fans und Lizenznehmer der Luca App. Das ist jetzt der Punkt, an dem wir mal ernsthaft über Sicherheit reden müssen. Nicht Datensicherheit, sondern fucking öffentliche Sicherheit! Wie stellt ihr Knallchargen euch das eigentlich vor, wenn wir wegen euch jetzt überall wieder die Restaurants aufmachen und dann ein nicht gerade kleiner Teil der Bevölkerung anfängt mit kopierten oder per free SMS Service registrierten Schlüsselanhängern durch die Gegend zu rennen?! Brauchts Handpuppen, um euch zu erklären, was dann los ist? Glaubt ihr Torfnasen ernsthaft, die ganzen Maskenverweigerer und Querdenker da draußen warten nur darauf, bei eurem Totalschaden von App brav mitspielen zu dürfen? Die werden euch sabotieren, wo sie nur können!

So langsam wird mir klar, warum man für Luca extra eine eigene GmbH (Gesellschaft mit beschränkter Haftung) gegründet hat. Luca degeneriert hier gerade zu einem System das nichts anderes macht als Einnahmen durch den Verkauf von Eintrittskarten für Restaurants zu verkaufen - ohne jeglichen weiteren Mehrwert für Gastwirt oder Kunden.

Update: In Teil VI machen wir das ganze dann auch nochmal für die App!