Über
Downloads
Blog
Dokumentation

Neues aus der Waschbärhöhle

Patrick’s Blog über Android, Apps und alles was sonst noch so dazu gehört. Kann Spuren von Erdnüssen enthalten. Feedback ist willkommen, Abo auf eigene Gefahr!
Wednesday, April 14, 2021

Kleine Anmerkung zu Luca Track: es hilft überhaupt nichts, dass culture4life den Fehler mittlerweile durch Abschalten des Endpunktes “behoben” hat. Intern besteht die Funktionalität natürlich weiter und kann von Luca genutzt, bzw. Dritten (Polizei, Geheimdiensten, jedem mit zu viel Geld) zur Verfügung gestellt werden.

Permalink »
Monday, April 12, 2021

Luca App Source Code Audit VII: der eingebaute Distributed Denial of Service Angriff

Was macht der 'Luca Algorithmus' eigentlich, wenn wir ihn großflächig ausrollen, z.B. als Teil einer Öffnungsstrategie für den Einzelhandel?

Ganzer Artikel »
Sunday, April 11, 2021

Nachtrag: zur SMS TAN Erzeugung für die Luca App

Vollständiger Prozess beschrieben.

Ganzer Artikel »
Saturday, April 10, 2021

Nebenbei, nur weil Luca noch kaputter als die Corona Warn App ist, heißt nicht, dass letztere auf einmal funktional oder sogar lobenswert wäre. Das ist beides völlig überflüssige Grütze, die nur auf dem Papier funktioniert, in der Praxis ihr Ziel um Meilen verfehlt und dabei Steuergeld verbrennt ohne Ende. Der einzige Existenzgrund für die CWA bestand darin, noch schlimmeres zu verhindern und selbst darin hat sie, dank Luca, jetzt auch versagt.

Das hier ist keine “entweder oder”, sondern eine “weder noch” Entscheidung.

Permalink »
Friday, April 9, 2021

Nebenbei, kleine Anmerkung für alle, die meinen, dass wir Luca brauchen, weil die Corona Warn App am (übertriebenen) Datenschutz scheitert: wenn man sich die Downloadzahlen anschaut, stellt man ganz klar fest, dass die CWA nicht am (übertriebenem) Datenschutz, sondern an der geringen Akzeptanz in der Bevölkerung gescheitert ist. Ursache für die geringe Akzeptanz ist das fehlende Vertrauen in den Datenschutz, da sich der Auftraggeber hier seit Jahren wie der Elefant im Porzellanladen benimmt. So rum wird ein Schuh draus und das wird auch Luca das Genick brechen.

Permalink »

Grad mal wieder so eine Mail von irgendeiner Trojaner Klitsche in meinem Postfach gefunden, die gerne meine Apps Userbase kaufen möchte. Mittlerweile gibts für sowas ganze Marktplätze im Internet (z.B. Flippa).

Hat von euch eigentlich wer auf dem Schirm, dass sich die Luca App vollständig in der Hand von einem Privatunternehmen befindet (bei der Corona Warn sind Entwickler und Betreiber aus gutem Grund voneinander getrennt und letzterer ist eine Behörde) und dieses Unternehmen auch noch extra für die App gegründet wurde? Will ja nix sagen, aber Whatsapp und Instagram waren auch mal eigene Unternehmen, bevor Facebook sie sich gekrallt hat.

Schon ein bisschen naiv, verantwortungslos und brandgefährlich, wie die Politik hier grad im Eiltempo, von blindem Aktionismus getrieben und ohne Folgeabschätzung, Abhängigkeiten aufbaut.

Permalink »
Thursday, April 8, 2021

Gefährlicher Spaß mit der Luca App - Mögt ihr eigentlich Friedrich Merz?

Ich glaube, vielen ist immer noch nicht bewusst, was für ein Totalschaden die Luca App ist und wie viel Ärger man auch ohne Computerkenntnisse mit dem Ding produzieren kann.

Ganzer Artikel »

Ich hatte ja die These geäußert, dass die Sache mit dem geklautem Code daher kam, dass man versucht hat, mit einem Tool den ursprünglichen, proprietären Lizenzkommentar zu entfernen und dass das dann Amok gelaufen ist und einmal überall alle Kommentare gelöscht hat. Das kann so aber natürlich nicht ganz stimmen, denn einige Kommentare sind ja noch vorhanden. Fehlen tun in erster Linie die Klassenbeschreibungen, in die jede vernünftige IDE ein @author Tag einfügt.

Eine andere Sache, die auffällt ist, dass natürlich auch das Revisionslog fehlt. Wirkt jetzt im Nachhinein irgendwie so, als wollten einige Programmierer lieber nicht namentlich mit dem Code in Verbindung gebracht werden.

Permalink »

Luca App Source Code Audit VI: Game Over!

Die gute Nachricht lautet, man kann Luca datenschutzkonform nutzen. Die schlechte könnte den Steuerzahler verunsichern (holt euch schonmal nen Eimer).

Ganzer Artikel »

Hm, tja, ich versuch hier grad ne SMS TAN für die Luca App zu bekommen, um nen bösen Verdacht zu testen. Geht natürlich auch mit curl (wenn es geht):

$  curl -X POST -H "Content-Type: application/json"  -d '{"phone":"+49XXXXXXXXX"}' https://app.luca-app.de/api/v3/sms/request
{"challengeId":"2618630a-AAAA-BBBB-CCCC-c40fb1e16c78"}

Man beachte die lange und interessant formatierte challengeId (techn. gesehen würde ein zufälliger 64 Bit Integer ausreichen. das hier sieht so aus, als wären da unnötig Daten kodiert und unnötige Daten heißt immer potentielle Angriffsfläche). Aber darum geht es hier nicht, sondern dass ich seit heute bei gefühlt jeder zweiten Anfrage folgendes Ergebnis bekomme:

$  curl -X POST -H "Content-Type: application/json"  -d '{"phone":"+49XXXXXXXXX"}' https://app.luca-app.de/api/v3/sms/request
Service Unavailable

Das deckt sich dann auch mit den ganzen Kommentaren auf Google Play, die sich darüber beschweren, keine Bestätigungs SMS bekommen zu haben. Macht jetzt auf den ersten Blick nicht so den Eindruck, als hätte culture4life Geld in ausreichend Serverkapazität gesteckt, um den bundesweiten Rollout zu stemmen, den sie gerade anstreben, oder?

Wäre auch nicht das erste Mal und ist vielleicht ein weiterers Sargnagel Indiz dafür, dass so ein Projekt nicht in die Hände eines Startups legt.

Permalink »