Deutsch
English
# COVID-19
Hm, tja, ich versuch hier grad ne SMS TAN für die Luca App zu bekommen, um nen bösen Verdacht zu testen. Geht natürlich auch mit curl (wenn es geht):
$ curl -X POST -H "Content-Type: application/json" -d '{"phone":"+49XXXXXXXXX"}' https://app.luca-app.de/api/v3/sms/request
{"challengeId":"2618630a-AAAA-BBBB-CCCC-c40fb1e16c78"}Man beachte die lange und interessant formatierte challengeId (techn. gesehen würde ein zufälliger 64 Bit Integer ausreichen. das hier sieht so aus, als wären da unnötig Daten kodiert und unnötige Daten heißt immer potentielle Angriffsfläche). Aber darum geht es hier nicht, sondern dass ich seit heute bei gefühlt jeder zweiten Anfrage folgendes Ergebnis bekomme:
$ curl -X POST -H "Content-Type: application/json" -d '{"phone":"+49XXXXXXXXX"}' https://app.luca-app.de/api/v3/sms/request
Service UnavailableDas deckt sich dann auch mit den ganzen Kommentaren auf Google Play, die sich darüber beschweren, keine Bestätigungs SMS bekommen zu haben. Macht jetzt auf den ersten Blick nicht so den Eindruck, als hätte culture4life Geld in ausreichend Serverkapazität gesteckt, um den bundesweiten Rollout zu stemmen, den sie gerade anstreben, oder?
Wäre auch nicht das erste Mal und ist vielleicht ein weiterers Sargnagel Indiz dafür, dass so ein Projekt nicht in die Hände eines Startups legt.
Die Ironie an der Sache ist nat?rlich, der oft nachgeplapperte Faktoid, dass die die Corona Warn App angeblich nicht wegen ?bertriebenem Datenschutz funktioniert. Und jetzt sehen wir gerade, dass die Luca App mit untertriebenem Datenschutz auch nicht funktioniert…
Vielleicht w?re es langsam mal an der Zeit uns einzugestehen, dass wir da mit Apps grunds?tzlich auf das falsche Pferd gesetzt haben?
Luca App Source Code Audit V: Luca ohne Computerkenntnisse austricksen
Wollen wir's nicht einfach nen Totalschaden nennen?
Ich überlege grad ernsthaft, mir das Luca App APK von Google Play zu ziehen und durch nen Decompiler zu jagen. Das Ergebnis kann selbst mit ProGuard Behandlung nicht unleserlicher sein als der Originalquälcode.
Ja, ich weiss, Lambdas sind jetzt der heiße Scheiß, hilft aber nix, wenn nachher der Kot unwartbar und deswegen die Kacke am dampfen ist.
Luca App Source Code Audit IV: Die Sache mit dem geklautem Source Code
Trigger Warnung: handzahmer Artikel
Luca App Source Code Audit II: Die ersten zwei(!) Sicherheitslücken
Einschub: Informationsbeschaffung, was man im Sourcecode finden können sollte und was sich außerhalb sonst noch so findet.
Luca App Source Code Audit I: der erste Kontakt
(Noch) Kein rauchender Colt, aber lasst trotzdem mal besser die Finger davon.
Manchmal wundern sich die Leute, warum ich so strikt gegen Corona contact tracing Apps bin. Kurz gesagt sind die Dinger ne Schnapsidee, die mehr Schaden als Nutzen. Sie schaffen ein falsches Sicherheitsgefühl und sorgen dafür, dass plötzlich wieder Konzerte und Veranstaltungen stattfinden, weil das Risiko beherrschbar scheint (ist es aber nicht).
Hier ist ne nette Story von jemandem der mal in der Praxis ausprobiert hat, was passiert wen man versucht eine Veranstaltung durchzuführen, bei der nicht nur strikte Anmeldepflicht herrscht (schöner Gruß an alle Anhänger des Luca App Hypes), sondern das Ganze auch zusätzlich noch über mehrere PCR- und Schnelltests abgesichert ist. Ergebnis: die Hälfte der Teilnehmer waren nachher krank. Wie konnte das passieren? Ganz einfach, sowohl Tests als auch Kontaktverfolgung haben eine Fehlerrate und da wo viele Menschen zusammen kommen, skaliert eben auch der Fehler.
Impfen, Abstand und Masken - konsequente Kontaktvermeidung, statt Kontaktverfolgung ist der Weg aus der Pandemie, nicht irgendwelches Hightech Spielzeug zur Risikominimierung, dessen eigentlicher Sinn das Weglügen des Risikos ist.
Ah, da schau mal an. Nachdem Smudo mit Luca Druck gemacht hat, muss das tote Pferd “Corona Warn App” jetzt doch nochmal gesattelt werden und bekommt ebenfalls eine Funktion zur Event Registrierung. Erfreulicherweise, und im Gegensatz zu Luca, sogar anonym (die IDs werden dann per QR Code statt Bluetooth ausgetauscht)! Tja, nur leider hilft das nichts gegen die ungeliebte Zettelwirtschaft, die man ja immer noch betreiben muss, wenn man keinen gesetzlichen Smartphone/App Zwang einführen will. Natürlich könnte ein Gastwirt, der keinen Bock auf Papierlisten hat, von seinem Hausrecht Gebrauch machen und Leute erst reinlassen, nachdem sie seinen QR Code gescannt haben, aber wie kontrolliert er dann, dass seine Gäste die echte App verwenden? Im wesentlichem bauen wir uns da also das Darth Vader Problem in High Tech nach.