Webinar: "Lernen Sie APPVISORY kennen" startet in

Tag(e)

:

Stunde(n)

:

Minute(n)

:

Sekunde(n)

luca App: Wie sicher ist die Kontakttagebuch-App?

23 Mrz, 2021

luca App im Datenschutz-Test

 

Systeme zur Rückverfolgung von Kontaktketten betrachten viele zu Recht als entscheidende Hilfsmittel in der Pandemiebekämpfung. Im Hinblick auf die anstehenden Schritte zurück in die Normalität mit der schrittweisen Wiedereröffnung von Gastronomie, Einzelhandel oder Kulturveranstaltungen entwickeln sie sich in den kommenden Monaten zu wichtigen Alltagsbegleitern. In diesem Zuge hat zuletzt die u.a. von Musiker Smudo initierte “luca App” für große Aufmerksamkeit in der Öffentlichkeit gesorgt. Selbst in Regierungskreisen wird darüber diskutiert, diese Kontakttagebuch-App als Ergänzung zur Corona-Warn-App offiziell zu empfehlen und bundesweit einzusetzen. Deshalb haben wir die „luca App” hinsichtlich Datenschutz und Datensicherheit auf Herz und Nieren geprüft. Wie geht die App mit den persönlichen Daten um?

luca App im iOS AppStore.

luca App im iOS AppStore.

luca App – Analyse der Sicherheit

Im Rahmen unseres PrePentest-Prüfverfahrens haben wir die aktuellen App-Versionen für iOS (v 1.4.0) und Android (v 1.4.11) analysiert. Dabei haben wir während der Prüfung die wichtigsten Einsatzszenarien nachgestellt. Erfreulicherweise stellte sich heraus, dass die App sämtliche Daten ausschließlich verschlüsselt und nur an den Hersteller der App, also keine unnötigen Dritten, transportiert. Kleinere Wermutstropfen stellen die fehlende Jailbreak-Detection und das nicht aktivierte Certificate Pinning dar. Da wir jedoch keine unverschlüsselten Verbindungen feststellen konnten, wirkt sich dies bisher nicht negativ aus. Sollte es in zukünftigen App-Versionen zu unverschlüsselten Übertragungen kommen, empfehlen wir diese Sicherheitsmechanismen nachzurüsten. Die täglich generierten Keys samt Signaturen überträgt die “luca App” wie vom Hersteller angegeben.

Kontakttagebuch-Apps und Daten – lucas Datenschutzverhalten

Was unseren Prüfern jedoch negativ auffiel ist, dass die App sehr häufig gesammelte Tracing IDs verschickt, schon bevor ein Check-In stattgefunden hat. Aus unserer Sicht und im Sinne der Datensparsamkeit sollten Apps darauf verzichten. Darüber hinaus haben wir festgestellt, dass im Quellcode der App Ausnahmen für unsichere Kommunikation zum luca-Server inklusive aller Subdomains vorgesehen sind. Diese Ausnahmen sind im Rahmen unserer Tests zwar nicht vorgekommen, könnten theoretisch aber zu einem späteren Zeitpunkt passieren. Ein weiteres technisches Detail ist unseren Prüfern aufgefallen: Die iOS Binary (die ausführbare Datei der iOS-App) wurde ohne Stack Canary, einem Sicherheitsmechanismus zum Schutz vor Schad-Code, kompiliert. Dies stellt zwar kein schwerwiegendes Vergehen dar, aber es ist dennoch ungewöhnlich, da es sich hierbei eigentlich um eine Standardeinstellung in der Programmiersprache Swift handelt.

luca App-Testergebnisse im Überblick

Unser Fazit: Bis auf kleinere Schwachstellen im Code können wir aktuell eine Nutzungsempfehlung aussprechen. Das Sicherheitsniveau und Datensendungsverhalten der App sind in Ordnung, nur im Code gibt es noch Verbesserungspotenziale. Grund zur gesunden Skepsis gibt außerdem der Fakt, dass das Erlös- bzw. Finanzierungsmodell der App aktuell nicht bekannt ist. Und es gilt zu beachten, dass die Daten, anders als bei der Corona-Warn-App, nicht dezentral gespeichert werden und somit zentral in der Hand des App-Entwicklers liegen. Ein weiterer Unterschied zur Corona-Warn-App liegt darin, dass der Quellcode bisher nicht Open Source ist. Die Veröffentlichung ist jedoch bereits für Ende März angekündigt, was dann zum Ausräumen der letzten kleineren Zweifel führen sollte. Das Datenschutz und –Sicherheitsniveau der Corona-Warn-App wird die “luca App” jedoch wahrscheinlich nicht erreichen können.

Die aktuellen Testergebnisse der “luca App” finden Sie hier:

 

Testergebnisse zum Download

Das könnte Sie auch interessieren:

Datenschutz und Datensicherheit: Ein Glossar

Datenschutz und Datensicherheit: Ein Glossar

Definition: Datenschutz & Co. Datenschutz und Datensicherheit – zwei Begriffe, die den meisten Bürgern schon einmal begegnet sind oder zumindest sein sollten. Schließlich sind diese auch im deutschen Grundgesetz verankert. Doch was meint „Datenschutz“ überhaupt...

Standort-Tracking: Was Apps wirklich über uns wissen

Standort-Tracking: Was Apps wirklich über uns wissen

Tracking in Apps - Was unser Standort über uns verrät Was weiß mein Smartphone über mich? Richtigerweise eine Frage, die sich sicher viele von uns schon einmal gestellt haben. Mehr als Sie ahnen, lautet unsere Antwort. Und dies bestätigen nun auch die zwei Forscher -...

PRESSEKONTAKT

 

Karina Quentin | PR & Communication

press@appvisory.com
Telefon +49 (0)511 35 39 94 22
Fax +49 (0)511 35 39 94-12

Möchten Sie Ihr Unternehmen erfolgreich absichern?

Newsletter

Exklusive Tipps und Neuigkeiten rund um Apps und Mobile Sicherheit

Contact