Quellcode jetzt freigegeben
Luca-App wird geprüft: Entwickler rechtfertigen sich
Die Entwickler der Luca-App zur Kontaktnachverfolgung haben ihren gesamten Quellcode jetzt zur Einsichtnahme zur Verfügung gestellt und kommen damit einer Forderung nach, die schon in den ersten Tagen nach Vorstellung des privatwirtschaftlichen Projektes laut wurde.
Quellcode lässt sich jetzt einsehen
Der Quellcode lässt sich auf dem Code-Portal GitLab in diesem Repository einsehen und gestattet Kritikern der Anwendung die Abläufe hinter den Kulissen nachzuvollziehen. Bislang waren diese auf sogenanntes Reverse Engineering angewiesen, um mögliche Sicherheitslücken im Aufbau der Applikation auszumachen.
Und von diesen gab es bereits einige. Zuletzt sorgte die Sicherheitslücke „LucaTrack“ für Aufsehen. Diese ermöglichte es aus den Schlüsselanhängern der App-Anbieter mit Ortsdaten angereicherte Checkin-Profile der Nutzer auszulesen – ifun.de berichtete.
CCC-Vorwürfe: Entwickler rechtfertigen sich
Auf „LucaTrack“ berief sich auch der Chaos Computer Club (CCC), der die Bundesländer Anfang der Woche dazu aufrief, die Nutzung der Luca-App sofort auszusetzen und die „zweifelhaften Geschäftsmodelle“ des Anbieters genau zu prüfen.
Schwere Vorwürfe, auf die die Luca-Macher jetzt mit einer Stellungnahme reagiert haben, die alle vom CCC angeführten Punkte einzeln adressiert und sich grob verkürzt wie folgt zusammenfassen lässt: Tut uns leid. Haben wir bereits korrigiert. Technisch durften wir das. Die Nutzung unserer App erfolgt ja ohnehin auf freiwilliger Basis.
Im Volltext lässt sich die Stellungnahme, die mit einer Gesamtlänge von 18.000 Zeichen etwa zehn Mal so lange wie dieser Eintrag ist, hier nachlesen.
Datenschützer wird Luca prüfen
Lesen wird diese auch Heinz Müller, Landesbeauftragten für Datenschutz und Informationsfreiheit in Mecklenburg-Vorpommern. Dieser hat nun eine Prüfung der Luca-App angekündigt und reagiert damit auf die zunehmende Kritik an der App, für die mehrere Bundesländer bereits Lizenzverträge gezeichnet haben. Allein Mecklenburg-Vorpommern hat sich die Nutzungsrechte an dem QR-Code-Scanner, der Adressen und Check-Ins seiner Nutzer auf zentralen Server speichert, etwa 440.000 Euro kosten lassen.
Die Frage wie viel da mittlerweile noch entfernt oder umgeschrieben wurde ..
Denen traue ich nicht mehr, zu viele Pannen.
Hahaha…aber Apple ist cool, oder was?? Oo
Was hat das jetzt mit Apple zu tun *facepalm*
Meine Meinung:
Menschen machen Fehler. Die Frage ist: Wie gehe ich damit um. Die Offenlegung des Quellcodes ist ein Schritt in die richtige Richtung. Ob das genügt, bleibt eine individuelle Einschätzung. Zitat: Vertrauen ist gut; Kontrolle ist besser.
Vertrauensselig zu sein, nur weil ein Rapper das unterstützt, ist leichtsinnig.
Letztendlich wird wohl wieder einmal Bequemlichkeit vor Datenschutz gehen.
„Hahaha…“?
Oh mann…
Die Frage kannst du dir ja dann selber beantworten, wenn der Code offen gelegt ist. Das ist ja der Sinn von Open Source.
Ich will die App an sich nicht verteidigen aber das hört sich eben ähnlich an wie bei den Verschwörungstheorien:
„Der Impfstoff ist dafür da um die Bevölkerung auszudünnen & jetzt bei der Corona-Beauftragten Erichsen sieht man das ja, die kippt nach der Impfung um, ha, wir haben es doch gewusst!“
„Die Politiker? Die haben sich doch gar nicht impfen lassen & die die das behaupten, die haben sich einfach irgendwas anderes verabreichen lassen. Die wollen uns nur verarschen“.
Eines von beiden geht theoretisch, beides nicht.
Nachtrag: ich sage nicht, dass du zu den Verschwörungstheoretikern gehörst. Ich meinte damit nur: was soll ein Entwicklerteam noch machen um Vertrauen zu gewinnen, als den Code offen legen?
Nein, nur der Code reicht ja nicht. Du brauchst auch einen reproduzieren Build aus dem Code, damit du weißt, ob die App im AppStore quasi auch genau auf dem Code basiert.
@Dr. Cox: Es ist doch eigentlich bewiesen, dass die Theorie mit stimmt, dass Bill Gates uns damit Chips einsetzt. VW stoppt die Produktion, weil die Chips jetzt alle im Impfstoff stecken.
Wer hat das bewiesen?
Ich hoffe das Ironie, die nicht ganz öffentlich gemacht wurde. In der heutigen Zeit muss man das ja leider tatsächlich fragen.
@Dr. Cox: Ja, war Ironie. Ich glaube nicht wirklich, dass man uns Chips aus der Automobilindustrie injiziert. Aber du hast recht, hier muss man das vermutlich wirklich kennzeichnen.
Bitte prüfen, dann denken… und dann die einzig richtige Entscheidung treffen!
Ab in den digitalen Schredder mit diesem Konstrukt aus Inkompetenz, Dreistigkeit und Beratungsresistenz. Geht rappen, das könnt ihr (vielleicht) besser!
Wer fragen hat, kann mal den Podcast Logbuch Netzpolitik hören, beim CCC auf deren Wedseiten nachlesen.
Sie haben nicht nur Datenschutzrichtlinien nicht befolgt, sie haben sogar die Policies des Apple Stores nicht beachtet, und müssten dort auch eigentlich sofort entfernt werden.
Diese App dient nur einem Zweck, Geldmaximierung durch Ticketing nach der Pandemie.
+1. Mir den Ängsten der Leute lässt sich halt super Geld machen.
allein dass ein rapper wie SMUDO für eine app wie diese wirbt ist nicht unbedingt vertrauenswürdig. was hat DER mit corona bzw mit der entwicklung einer tracking app zu tun???
20% Anteile daran.
Macht bei 20Mio € eingesammelten Steuergeldern ….
nein ich reg mich nur auf
Recht simpel abkassieren, wie üblich bei den a,b,c Promis die weg vom Markt sind.
Ich sehe das auch kritisch. Aber ein C-Promi ist das ja nun nicht
stimmt, ist noch weiter hinten
Er hat in die App investiert. Es ist durchaus lobenswert, wenn Leute mit viel Geld in sinnvolle Sachen investieren, die auch der Allgemeinheit nutzen und nicht die Kohle für Nutten und Drogen ausgeben.
Und es ist auch legitim, wenn jemand dann am Ende sein Investment zum Teil zurückbekommt, oder sogar Gewinn macht. Ohne private Investments wie von Hopp, Sprüngmann, Gates oder auch Smudo hätten wir weder Impfstoffe noch Apps.
Ach jetzt. Fanta 4 sollen vom Gewinn irgend nem Künstlerfont was spenden und gut is. Sie haben investiert und deswegen gibts die App überhaupt.
Ob jetzt alles geil lief, kann ich nicht beurteilen.
Was das Foto vom Beitrag angeht:
Heiraten die und er scannt die Braut??
XD
Happy weekend allen!
Transparenz wird bei Luca groß geschrieben. So Transparent die Haben im Git Commit gleich noch die geheimen Datenbank Zugangsdaten:
Postgres-User: Luca Postgres-Password: lcadmin
und den RSA private Key des servers drin gehabt.
Dem Laden vertraut man gerne an wo man sich wann mit wem wie lange getroffen hat.
Ich war letztens im Baumarkt und habe mit der Luca-App ein- und ausgecheckt. Oh Gott, war ich unvorsichtig. Jetzt wird mir klar, dass jeder den Server knacken und meinen Baumarkt-Besuch nachvollziehen kann. Als Konsequenz werde ich in Zukunft nicht nur die Luca-App meiden, sondern auch die Kennzeichen von meinem Auto entfernen, die Dunkelheit abwarten, mein Gesicht zusätzlich mit Hoody schützen, und vor allem meine SIM Karte wechseln, die steht sogar im öffentlichen Telefonbuch. Wie unvorsichtig von mir.
Leute, Daten sind nicht per se schützenswert. Für so einen Einkauf ist es mir egal, wer das alles mitschneidet.
Das kann jeder selbst entscheiden. Für mich überwiegt das bequeme Einchecken. Wenn das jemand anders sieht, soll er die App halt nicht installieren. Die Freiheit haben wir.
So habe ich vor 15 Jahren auch noch gedacht. Da wurde ich schon gewarnt was das Zeug hält. Als ich mir damals dann Facebook gemacht hab, hatte ich eigentlich schon mein berufliches Todesurteil geschrieben, ich meine jeder Chef kann jetzt im leichten meine Likes etc. zuordnen lassen.
Ganze 15 Jahre später ist absolut nichts passiert. Der schlimmste Nebeneffekt waren bisher Spam SMS.
Wie in wirklich ALLEM im Leben gilt wohl auch hier: die goldene Mitte wird wohl das richtige sein. Man sollte mit Daten nicht leichtfertig umgehen, man sollte aber auch nicht zum Datenschutzfanatiker werden & das Weltende prophezeien, wenn jemand weiß, wo ich wann gegessen habe.
Ich glaube Du bist noch nicht auf dem aktuellen Stand zu einigen Themenkomplexen hierzu.
Ein Stichwort wäre big data.
Aber da hier schon so viel dazu kam, könnte es auch sein, dass Du es nicht verstehst
Doch Daten gehören per Definition zum Persönlichkeitsrecht und müssen geschützt werden. Falls persönliche Daten gesammelt werden ist dies nur mit dem Grundsatz der Zweckmäßigkeit begründet werden und es muss eine passende Datenschutzerklärung existieren.
Aber wenn Daten deiner Meinung nach nicht schützenswert sind, kannst du ja öffentlich deine Daten für dein Online-Banking posten.
Wenn es meine Daten sind entscheide ich doch für mich was ich mit meinen Daten mache oder entscheidest das jetzt du? Bei meinen Banking-Daten entscheide ICH, dass ich die nicht ins Netz stelle. Mein letztes Mittagessen stelle ich dann vielleicht ins Netz, weil ich es entscheide. Du darfst das sowohl für deine Banking-Daten als auch für dein Mittagessen anders sehen.
Like oder teile ein Bild( unwissentlich) einer falschen, geächteten Person und du ziehst die Konsequenzen. Das ist doch etwas was heute zuhauf passiert und unsere Gesellschaft und sogar Familien spaltet.
Nur weil DU nicht betroffen bist, heißt es nicht, dass dies bei anderen nicht der Fall ist.
Genau das sind die Gründe immer genau vorsichtig zu sein was man im Internet macht. Es könnte jemandem nicht gefallen.
Quelle?
Ich nicht
Geil, die ganzen Künstler die dadurch eine gute reelle Chance hätten früher und sicher für Publikum wieder auf Bühnen zu stehen, sind ja egal.
Die Einwände sind berechtigt. Ja vielleicht ist die App nicht die Weisheit, genau so wenig wie die Unterstellung ein Smudo hat keine Ahnung nur weil er Rapper (der ja nicht ein Technik nerd seit über 30 Jahren, und er ist nicht der Entwickler an sich btw.). Niemand kann von Anfang an alles richtig machen. Siehe Politiker ;)
Naja hauptsache schnell deutsch sein und tot trampeln, aber keine Lösung anbieten bis unsere Kultur ganz brach liegt.
Kritik ist angebracht, eine zweite Chance aber auch. Und jeder kann entscheiden dass er die nicht geben mag. Schade alles.
Gerade in der IT ist jedes Bekannte Problem bereits gelöst und es gibt für jeden Anwendungsfall eine best Practice wie es richtig gemacht wird.
Bei Luca wilurden keine kleinen „Fehler“ gemacht, die mal so passieren können. Solch gravierenden Scheunentor großen Löcher die zt Konzeptionell bedingt sind, und ein Konstrukt, dass beim groben hinsehen wie ein Kartenhaus in sich zusammenfällt, sind Resultat von entwicklern die keinen Plan haben, was sie da eigentlich tun und mit der heißen Nadel gestrickte Software schnell vermarkten.
Denn außer dem Marketing ist an diesem „besseren QR-Code Scanner“ nichts dran.
Dass Künstler und Musiker mit so einer grausam schlechten App irgendwie schneller wieder Geld verdienen können ist eine Illusion die bei inzidenzen über 100 und Lahmer Impfkampagne in weiter Ferne liegt.
Der einzige Künstler der an Luca profitiert ist Smudo, der mit 20% an dem Unternehmen beteiligt ist.
Dass da 20 mio € Steuergeld drauf geworfen wurden, ohne Vergleichbare Apps zu prüfen und das vernünftig auszuschreiben ist der nächste Skandal.
Ganz genau so ist es, fast ohne Teilnahme an formellen europaweiten Ausschreibungen, ohne Einhalten von komplizierten Richtlinien für Software für die öffentliche Hand, lacht der sogenannte „Smudo“ sich ins Profitfäustchen. Davon abgesehen war er mir schon immer mehr als unsympathisch
Da kannte er wohl jemanden, der kannte dann auch jemanden….Lobbyismus oder Vetternwirtschaft….
man muss halt nur die richtigen Leute kennen….schon läufst.
Bevor Smudo Rapper wurde, war er Entwickler
So ganz unbedarft ist er also nicht. Was sagt das nun über ihn aus?
Er betätigt sich inzwischen eben auch als Investor, ist an dieser Unternehmung mit 22% beteiligt. Hier geht es ganz klar um (viel) Geld, und nicht um Gutmenschentum.
Hört also bitte auf, ihn zu verteidigen und lasst die Prüfer prüfen! Es geht um sehr viel Steuergeld, das ist auch meine Kohle.
ups, haben wir hier einen einen Fan. Jeder Investor sollte vor einem Investment die Risiken abfragen. In Rahmen dieser Überprüfung erfolgt auch ein Check wegen Softwarelizenzen und möglichen Stolpersteinen. Also behaupte ich, es ging um Gewinnmaximierung unter Ausnutzung des Bekanntheitsgrades.
Das Problem ist nicht, dass Smudo Werbung für diese App macht. Das Problem ist, dass er nicht unerheblich an dem Laden beteiligt ist und mit jeder Mark die er einsammelt mitverdient. An Steuergeldern wohlgemerkt! Einen auf Samariter macht und einem erzählt, wie sehr sich die Unterhaltungsbranche leidet und hintenherum die Kohle kassiert. Einfach nur weil man ihn kennt und vertraut hat. In diesem Glauben hat er den Leuten quasi geklauten, halbgaren Mist verkauft, für zig Steuermillionen.
Problem sind Politiker die den Kram ohne Ausschreibung, Prüfung und Evaluation Kaufen, die Werbung von Smudo nachplappern und Smudo als uneigennützigen barmherzigen Samariter darstellen. Und sich am Ende dafür feiern lassen Sätze zu droppen wie: „Ich hab zwar keine Ahnung davon, aber es könnte helfen also hab ich’s mal gekauft“
1+…..deutscher politischer Dilettantismus!
Vergesst ihr alle, dass von der Politik eine Impfstrategie ins Leben gerufen wurde, die völlig vesagt! Die Politik ist an dem jetzigen Desaster schuld und deswegen hört auf, immer nach einer App zu rufen, die uns auch nur etwas Normalität zurückbringen soll. Tretet Euren Volksvertreter auf die Füsse, macht Euren Unmut kund, dann braucht in naher Zukunft niemand mehr eine solche App! Die Politik leistet sich gerade einen Offenbarungseid was das Impfen anbetrifft….DAS IST DAS PROBLEM!
Dann erzähl mal, was denn hätte anders laufen können? Israel ist so schnell gewesen, weil sie sämtliche Daten an den Impfstoffhersteller weiterleiten. Was glaubst Du denn was hier los wäre, wenn unsere Regierung das auch zugesagt hätten. GB hatte einen Monat Vorsprung, weil sie die Impfstoffe mit Notfallzulassung fast einen Monat eher bestellt und verimpft haben – hier macht man der Regierung jetzt Vorwürfe, dass man AstraZeneca nicht hinreichend getestet hat. Übrigens wurden GB die Thrombosefälle von der Regierung verschwiegen um den Impferfolg nicht zu gefährden. Hier hätte man Merkel deshalb vermutlich mal wieder zu Rücktritt aufgefordert.
Die USA sind weit vorn, weil sie einfach mehr Impfstoffe herstellen können. Hier in Deutschland sind bereits 20% erstmalig geimpft und das ist international ganz gut, vor allem wenn man bedenkt, dass hier nur geprüfte und zugelassene Impfstoffe verwendet werden und keine chinesischen und russischen Vaccine mit kaum nachprüfbaren Ergebnissen.
Ich habe mich vor Wochen schon über die Entwickler geärgert, die sich vermeintlich auf die Fahnen geschrieben haben, eine sichere und erstklassige Hilfe für Lockerungen im Pandemiezeitalter entwickelt zu haben und es nach über acht Wochen immer noch nicht fertigbringen, mal auf einfache (Sicherheits-)Anfragen zu reagieren. Allein das kommt schon äußerst unseriös daher.
Landesbeauftragte für Datenschutz… so so. Die bekommen es nicht mal hin eine Anwendung wie O365 anständig zu prüfen.
Du kennst die Aufgaben eines Landesdatenschützers? Offensichtlich nicht.
Offensichtlich wolltest du einfach nur antworten, bevor du verstehst worum es geht? ;-)
Das der verwendete open source code die kommerzielle Nutzung ausschließt wird einfach totgeschwiegen. Sollten Händler oder gastro die Nutzung der App erzwingen werden wohl viele wieder im inet kaufen oder ihr Bier zuhause trinken. Und das die originalen autoren des os codes nicht erwähnt wurden kann im zuge der Entwicklung… wtf. Ich glaube nicht das sie den code abgeschrieben haben, copy paste – entweder wurde der autor mit Absicht rausgelöscht oder nicht mitkopiert. Die Stellungnahme liest sich wie ein Geflecht aus Ausreden.
Das Luca die Einzige App am Markt ist, die das kann, was sich Gastronomen wünschen, ist auch mehr als gelogen!!! Aber was willste auch von nem 20%-Investor/ Marketing-Hampelmann auch hören.
Da gibt es seit der Verordnung zur Kontaktnachverfolgung unzählige App & Systeme (z.B. Kassensystem-Hersteller, Crowd Notifier, …), die seither entwickelt wurden! Nur hatten die nicht so einen naiven ,dennoch engagierten, 20%-Investor mit Prommi-Bonus.
Hier mal eine Initiative mit vielen Alternativen zu Luca:
https://www.wirfuerdigitalisierung.de
Das Problem liegt bei uns wie immer auch beim Staat, Politiker die begeistert erzählen das sie sich noch nichtmal mit der Technik auseinandersetzen. Sinnvoll wäre dass der Staat eine API oder ein Protokoll definiert wie die Daten ans Gesundheitsamt zu melden sind und dann können die Anbieter Apps dafür machen.
Was hier schiefläuft ist das fantasmudo seine Reichweite nutzt und dass die Luca App dann auf Landesebene ins Gesetz geschrieben wird. Seine Aussage dass es keine Alternative gibt ist halt falsch, es gibt viele Ansätze. Mir würde ein Ausbau der Corona warn App am besten gefallen. Und dann brauchen wir Politiker/innen die eins auf den Sack kriegen wenn sie dermaßen teure dumme Lizenzen kaufen. Einfach mal rausfliegen wenn man 20 Mio in den Sand setzt…..
Last not least, wenn man sich mal anhört (Quelle ist Linus Podcast Logbuch Netzpolitik & deren Quellen) wie wenig dieser Daten von den Gesundheitsämtern genutzt werden, dann klingt das alles nach wahlkampfgesteuertem Politiker Aktionismus und Leuten wie Smudo & Co die hier als „Kriegsgewinnler“ von der Pandemie profitieren und absahnen. Ich mein der ist doch wirklich reich genug um Rennen zu fahren, sonst jede Menge Spaß zu haben und den Fanta 4 stünde es auch besser wenn sie mal was für die Gesellschaft tun anstatt sich hier so zu bereichern. Sehr schade… selber Papa vom Killesberg Baby geworden Alter.
Was ich mich ja Frage – man pumpt Geld in eine App um dann im Nachhinein sich Details zu Datenschutz etc. anzusehen/zu prüfen… warum macht mann dies nicht schon vorher?
Unsere Steuergelder werden in absolute Bullshitapps ohne Sinn und Verstand verschleudert. Und das natürlich ohne Ausschreibung. Der inkompetenteste und teuerste Anbieter bekommt den Zuschlag. Das war bei der Corona-Warn-App auch schon so – teuerste vergleichbare App auf der Welt. Wobei es da immerhin noch bekannte große IT Unternehmen waren wi man davon ausgehen konnte, dass es zwar teuer wird, aber wenigstens etwas akzeptables rauskommt. Bei Masken wird auch nicht gespart – da hat man gleich Milliarden locker gemacht mit schönen Kickbacks an Politiker. Nur bei dem einzigen Mittel was wirklich helfen würde – Impfstoffe – da haben wir gespart. Es wird gerade leider immer deutlicher, dass wir in einer Bananenrepublik leben.
Es ist so peinlich, was hier geschrieben wird.
Die meiste, die hier von Steuer reden, haben vermutlich noch nie Steuer gezahlt und wenn dann, wie lange. Mensch Kinder, von was reden wir heir? Bayern z.B. hat 5,5 Millionen Lizenzgebühr bezahlt. Da bekommst grad mal zwei Einfamilienhäuser in München. Das ist doch Kleingeld.
Und das ein Investor an seiner Investition verdienen will ist auch klar. Deswegen macht man eine Investition: Grundsätzlich ist eine Investition ein Projekt oder ein Gegenstand, für den ein Unternehmer oder eine Privatperson Kapital ausgibt. Von diesem Geldeinsatz erhoffen sich sowohl das Unternehmen und die Privatperson, dass die Einnahmen, die sie später erzielen, größer sind als das Anfangskapital, das sie eingesetzt haben.
Vollkommene Zustimmung. Auch wenn es manchmal pervers anhören mag, einige Millionen sind volkswirtschaftlich einfach Peanuts.
Lustig ist es dann immer, wenn eine Entwicklerbude ihre App auf ein Abo System umstellt um noch mehr Millionen aus einer App zu quetschen & hier viele den am Hungertod nagenden Entwickler sehen. Aber sobald es passt, soll ein Entwickler ja nicht Geld mit einer App verdienen.
Technisch betrachtet kann die Luca App gerne schlecht sein, das kann ich gar nicht beurteilen.
Aber wenn eine App jetzt auf den Markt kommt & technisch funktioniert, dann sollen die Entwickler da jetzt meinetwegen reichlich abkassieren. Und wer dafür Marketing betreibt, interessiert mich nicht im geringsten.
Der Lockdown muss mit geeigneten Maßnahmen so kurz wie möglich gehalten werden. Um am Ende der Pandemie, werden die Ausgaben für so eine App nicht mal 1% ausmachen.
Das stimmt schon, aber dann sollte die App auch schon etwas bringen, für die viel Geld bezahlt wird.