luca App im Datenschutz-Test
Systeme zur Rückverfolgung von Kontaktketten betrachten viele zu Recht als entscheidende Hilfsmittel in der Pandemiebekämpfung. Im Hinblick auf die anstehenden Schritte zurück in die Normalität mit der schrittweisen Wiedereröffnung von Gastronomie, Einzelhandel oder Kulturveranstaltungen entwickeln sie sich in den kommenden Monaten zu wichtigen Alltagsbegleitern. In diesem Zuge hat zuletzt die u.a. von Musiker Smudo initierte „luca App“ für große Aufmerksamkeit in der Öffentlichkeit gesorgt. Selbst in Regierungskreisen wird darüber diskutiert, diese Kontakttagebuch-App als Ergänzung zur Corona-Warn-App offiziell zu empfehlen und bundesweit einzusetzen. Deshalb haben wir die „luca App“ hinsichtlich Datenschutz und Datensicherheit auf Herz und Nieren geprüft. Wie geht die App mit den persönlichen Daten um?
Update zur luca App & den Testergebnissen (08.02.2022)
Inzwischen sind weitere Versionen der luca-App auf dem Markt. Die nachfolgenden Ergebnisse beziehen sich auf die Versionen für iOS (v 1.4.0) und Android (v 1.4.11). Außerdem sind folgende Punkte zu beachten: Kritisch ist, dass es sich bei dem App-Herausgeber um ein privates Unternehmen handelt. Es ist eben kein dezentrales System wie bei der Corona-Warn-App, welches über mehrere Instanzen hinweg gesteuert, aber eben auch kontrolliert werden kann (Open Source).
Zudem wurde zuletzt bekannt, dass die Polizei Zugang zu Kontaktdaten aus der luca- App bekam. Aus Datenschutzsicht ist diese Fremdnutzung absolut fragwürdig. Die negativen Schlagzeilen rund um die App haben inzwischen auch Länder und Regierungskreise dazu verleitet, auf den flächendeckenden Einsatz der luca-App zu verzichten.
luca App – Analyse der Sicherheit
Im Rahmen unseres PrePentest-Prüfverfahrens haben wir die aktuellen App-Versionen für iOS (v 1.4.0) und Android (v 1.4.11) analysiert. Dabei haben wir während der Prüfung die wichtigsten Einsatzszenarien nachgestellt. Erfreulicherweise stellte sich heraus, dass die App sämtliche Daten ausschließlich verschlüsselt und nur an den Hersteller der App, also keine unnötigen Dritten, transportiert. Kleinere Wermutstropfen stellen die fehlende Jailbreak-Detection und das nicht aktivierte Certificate Pinning dar. Da wir jedoch keine unverschlüsselten Verbindungen feststellen konnten, wirkt sich dies bisher nicht negativ aus. Sollte es in zukünftigen App-Versionen zu unverschlüsselten Übertragungen kommen, empfehlen wir diese Sicherheitsmechanismen nachzurüsten. Die täglich generierten Keys samt Signaturen überträgt die „luca App“ wie vom Hersteller angegeben.
Kontakttagebuch-Apps und Daten – lucas Datenschutzverhalten
Was unseren Prüfern jedoch negativ auffiel ist, dass die App sehr häufig gesammelte Tracing IDs verschickt, schon bevor ein Check-In stattgefunden hat. Aus unserer Sicht und im Sinne der Datensparsamkeit sollten Apps darauf verzichten. Darüber hinaus haben wir festgestellt, dass im Quellcode der App Ausnahmen für unsichere Kommunikation zum luca-Server inklusive aller Subdomains vorgesehen sind. Diese Ausnahmen sind im Rahmen unserer Tests zwar nicht vorgekommen, könnten theoretisch aber zu einem späteren Zeitpunkt passieren. Ein weiteres technisches Detail ist unseren Prüfern aufgefallen: Die iOS Binary (die ausführbare Datei der iOS-App) wurde ohne Stack Canary, einem Sicherheitsmechanismus zum Schutz vor Schad-Code, kompiliert. Dies stellt zwar kein schwerwiegendes Vergehen dar, aber es ist dennoch ungewöhnlich, da es sich hierbei eigentlich um eine Standardeinstellung in der Programmiersprache Swift handelt.
luca App-Testergebnisse im Überblick
Unser Fazit: Bis auf kleinere Schwachstellen im Code können wir aktuell eine Nutzungsempfehlung aussprechen. Das Sicherheitsniveau und Datensendungsverhalten der App sind in Ordnung, nur im Code gibt es noch Verbesserungspotenziale. Grund zur gesunden Skepsis gibt außerdem der Fakt, dass das Erlös- bzw. Finanzierungsmodell der App aktuell nicht bekannt ist. Und es gilt zu beachten, dass die Daten, anders als bei der Corona-Warn-App, nicht dezentral gespeichert werden und somit zentral in der Hand des App-Entwicklers liegen. Ein weiterer Unterschied zur Corona-Warn-App liegt darin, dass der Quellcode bisher nicht Open Source ist. Die Veröffentlichung ist jedoch bereits für Ende März angekündigt, was dann zum Ausräumen der letzten kleineren Zweifel führen sollte. Das Datenschutz und –Sicherheitsniveau der Corona-Warn-App wird die „luca App“ jedoch wahrscheinlich nicht erreichen können.
Testergebnisse zum Download
Die aktuellen Testergebnisse der „luca App“ finden Sie hier:
Wie sicher sind Corona-Warn-App, CovPass & Co.?
In diesem Beitrag zu den wichtigsten Corona-Apps finden Sie die Testergebnisse der Corona-Warn-App, CovPass & Co.