{"id":174927,"date":"2021-05-27T14:18:44","date_gmt":"2021-05-27T12:18:44","guid":{"rendered":"https:\/\/www.iphone-ticker.de\/?p=174927"},"modified":"2021-05-27T14:18:44","modified_gmt":"2021-05-27T12:18:44","slug":"luca-app-angriffe-auf-gesundheitsaemter-waren-moeglich","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/luca-app-angriffe-auf-gesundheitsaemter-waren-moeglich-174927\/","title":{"rendered":"Luca-App: Angriffe auf Gesundheits\u00e4mter waren m\u00f6glich"},"content":{"rendered":"<p>Die direkte Verbindung, die die privatwirtschaftliche Luca-App zur Kontakterfassung mit den Gesundheits\u00e4mtern der an das Luca-System angeschlossenen Bundesl\u00e4nder aufbaut, hat Angriffe auf Beh\u00f6rdenrechner <a href=\"https:\/\/www.zeit.de\/digital\/2021-05\/luca-app-gesundheitsaemter-hackerangriff-risiko-kontaktverfolgung-coronavirus\">m\u00f6glich gemacht<\/a>. <\/p>\n<p><a href=\"https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/03\/luca-app.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/03\/luca-app-500x500.jpg\" alt=\"Luca App\" width=\"500\" height=\"500\" class=\"aligncenter size-medium wp-image-171377\" srcset=\"https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/03\/luca-app-500x500.jpg 500w, https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/03\/luca-app-700x700.jpg 700w, https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/03\/luca-app-150x150.jpg 150w, https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/03\/luca-app-1536x1536.jpg 1536w, https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/03\/luca-app.jpg 1560w\" sizes=\"auto, (max-width: 500px) 100vw, 500px\" \/><\/a><\/p>\n<p>Dies demonstriert das eingebettete YouTube-Video des Security-Spezialisten Marcus Mengs, das die Schwachstelle beleuchtet, die nicht nur ein Abfangen privater Daten, sondern auch Ransomware-Angriffe auf die \u00c4mter m\u00f6glich gemacht habe. <\/p>\n<p>Bei dem im Video gezeigten Angriff spielen Nutzer der Luca-App den angeschlossenen Gesundheits\u00e4mtern schadhafte Informationen zu, die beim Daten-Export zur Kontakt-Nachverfolgung (eine allt\u00e4gliche Routine-Handlung in den Gesundheits\u00e4mtern) daf\u00fcr sorgen, dass Excel entsprechende Tabellen auf entfernte Server \u00fcbertr\u00e4gt oder anderen, gezielt \u00fcbertragenen Schadcode ausf\u00fchrt und so die Rechner der Gesundheitsverwaltung kompromittieren kann. <\/p>\n<p><div class=\"responsive-video\"><iframe loading=\"lazy\" width=\"700\" height=\"371\" src=\"https:\/\/www.youtube-nocookie.com\/embed\/xTljfac-0ag\" frameborder=\"0\" allowfullscreen><\/iframe><\/div><\/p>\n<h2>Macher ignorierten Gefahr<\/h2>\n<p>Brisant daran ist: Die im beschriebenen Fall ausgenutzte CSV-Injection war noch vor wenigen Wochen von Luca-Chef Patrick Henning als &#8222;nicht m\u00f6glich&#8220; <a href=\"https:\/\/www.zeit.de\/digital\/datenschutz\/2021-04\/luca-app-gesundheitsaemter-corona-kontaktverfolgung-hackerangriff-risiko\">abgetan worden<\/a>. Dieser hatte in einem Interview mit ZEIT ONLINE erkl\u00e4rt sichergestellt zu haben, dass hier kein Schaden entstehen k\u00f6nne. Nun stellt sich heraus: Die Gesundheits\u00e4mtern waren durchaus verwundbar. <\/p>\n<p>Inzwischen haben die Luca-Verantwortlichen auf die neue L\u00fccke <a href=\"https:\/\/www.luca-app.de\/hinweis-auf-einen-potentiellen-missbrauch-des-luca-systems\/\">mit einem Blogbeitrag reagiert<\/a>, in dem versichert wird, dass inzwischen weitere Ma\u00dfnahmen getroffen wurden, um in Zukunft den Missbrauch des eigenen Systems zu umgehen. Derzeit gehen die Luca-Macher davon aus, dass es unwahrscheinlich sei, &#8222;dass Schaden durch einen derartigen Angriff entstanden ist&#8220;, schlie\u00dfen dies allerdings auch nicht aus. <\/p>\n<p><center><\/p>\n<blockquote class=\"twitter-tweet\" data-conversation=\"none\" data-cards=\"hidden\">\n<p lang=\"de\" dir=\"ltr\">Die Schwachstelle des heutigen <a href=\"https:\/\/twitter.com\/hashtag\/LucaApp?src=hash&amp;ref_src=twsrc%5Etfw\">#LucaApp<\/a> Hacks wurde vor 3 Wochen(!) auf ZEIT Online(!) ausf\u00fchrlich besprochen:<a href=\"https:\/\/t.co\/l23uys9ccW\">https:\/\/t.co\/l23uys9ccW<\/a><br \/>Die gro\u00dfen Worte von Luca-CEO Patrick Hennig sollte <a href=\"https:\/\/twitter.com\/mame82?ref_src=twsrc%5Etfw\">@mame82<\/a> sich einrahmen: <a href=\"https:\/\/t.co\/5IzryFgn4c\">pic.twitter.com\/5IzryFgn4c<\/a><\/p>\n<p>&mdash; linuzifer (@Linuzifer) <a href=\"https:\/\/twitter.com\/Linuzifer\/status\/1397448047399952391?ref_src=twsrc%5Etfw\">May 26, 2021<\/a><\/p><\/blockquote>\n<p> <script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/center><\/p>\n<p>Der Chaos Computer Club hat derweil mit Unverst\u00e4ndnis auf die z\u00f6gerliche Reaktion der Luca-Macher <a href=\"https:\/\/twitter.com\/Linuzifer\/status\/1397448047399952391\">reagiert<\/a>. Diese wussten seit Wochen von der potenziellen L\u00fccke, h\u00e4tte diese bislang jedoch ignoriert. <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/c3bbb7c705a54d6c947bc362e67af160\" width=\"1\" height=\"1\" no-lazy class=\"tracking\"><\/p>\n","protected":false},"excerpt":{"rendered":"<a href=\"https:\/\/www.iphone-ticker.de\/luca-app-angriffe-auf-gesundheitsaemter-waren-moeglich-174927\/\"><img decoding=\"async\" width=\"150\" src=\"https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/03\/luca-app-500x500.jpg\" class=\"alignright wp-post-image tfe\" alt=\"Luca App\" title=\"\" \/><\/a><p>Die direkte Verbindung, die die privatwirtschaftliche Luca-App zur Kontakterfassung mit den Gesundheits\u00e4mtern der an das Luca-System angeschlossenen Bundesl\u00e4nder aufbaut, hat Angriffe auf Beh\u00f6rdenrechner m\u00f6glich gemacht. Dies demonstriert das eingebettete YouTube-Video des Security-Spezialisten Marcus Mengs, das die Schwachstelle beleuchtet, die nicht nur ein Abfangen privater Daten, sondern auch Ransomware-Angriffe auf die \u00c4mter m\u00f6glich gemacht habe. Bei [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[39],"tags":[3914,5571,238,90],"class_list":["post-174927","post","type-post","status-publish","format-standard","hentry","category-apps","tag-apps","tag-luca","tag-security","tag-sicherheit"],"aioseo_notices":[],"subheadline":["Macher ignorierten Gefahr"],"featured_image":["https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/03\/luca-app-feature.jpg"],"rest_api_enabler":{"subheadline":"Macher ignorierten Gefahr","featured_image":"https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/03\/luca-app-feature.jpg"},"_links":{"self":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/174927","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/comments?post=174927"}],"version-history":[{"count":1,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/174927\/revisions"}],"predecessor-version":[{"id":174928,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/174927\/revisions\/174928"}],"wp:attachment":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media?parent=174927"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/categories?post=174927"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/tags?post=174927"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}