Sicherheitslücken in Apps am Beispiel der Luca App und anderen Fällen

8. Mai 2021 — Michael Ilic

Wie kommt es zu Sicherheitslücken in Apps? Was hat das für mich als Kunde für Auswirkungen? Wir schauen uns einige Beispiele an und geben Hintergrundinformationen.

Sicherheitslücken in Apps am Beispiel der Luca App und anderen Fällen

Immer wieder liest man in den Schlagzeilen von Sicherheitslücken in Apps oder Plattformen. Aber wie kommt es eigentlich ständig dazu und was hat das für mich als Benutzer für Auswirkungen? Wir geben einige kurze Beispiele wie die Luca App und Call Recorder.

Gerade ständig in den Nachrichten ist die Luca App, die sich heftiger Kritik vom Chaos Computer Club e.V. und anderen Sicherheitsforschern anhören muss. In einem veröffentlichten Blog Beitrag hat der CCC ausführlich auf Mängel in der App hingewiesen und Risiken aufgezeigt.

In diesem Fall geht es noch nicht direkt um bestehende Sicherheitslücken, sondern viel mehr um Risiken bei Überwachung und den Umgang mit Kundendaten. Hierzu hat der Chaos Computer Club ein Liste mit 10 Prüfsteinen für Contact Tracing Software veröffentlicht, die sie für wichtig erachten. Wie viele die Luca App davon erfüllt? Zum Zeitpunkt des Artikels leider keinen einzigen.

Somit prangert der CCC zurecht den Umgang mit Kundendaten an, wenn es um die Betreiber der Luca App geht, sowie Politiker, die diese Sicherheitslücken nicht durch Ausschreibungsverfahren und ordentliche Prozesse überprüfen. Viel schlimmer sogar noch: Private Daten und Bewegungsprofile von Bürgern werden wissentlich einem Risiko ausgesetzt während der Betreiber der App mit Steuergeldern bezahlt wird.

Ein Beispiel für den Umgang mit Kundendaten? Während die Luca App aktiv auf dem Gerät läuft werden im 3 Sekunden Takt Abfragen an deren Server geschickt. Unabhängig von einem Check-In oder Check-Out. Mitgeschickt werden dadurch genaue Daten über das Gerät und ein auf dem Gerät erzeugter Schlüssel. Fängt an irgendeinem Punkt auf dem Weg vom Handy zum Luca Server jemand den Datenverkehr ab, so lassen sich eindeutige Rückschlüsse über Identität und Bewegungsdaten des Handybesitzers machen. Die ausführlichen Informationen über den Prozess und zu welchem Zeitpunkt welche Daten verfügbar sind kann hier nachgelesen werden.

Aber was passiert, wenn angenommen, die Luca App wird für Besuche bei Konzerten, Gastronomie oder ähnlichem vorgeschrieben wird und der Besucher kein Smartphone hat? Hierfür werden von Luca Schlüsselanhänger mit aufgedrucktem QR Code zur Verfügung gestellt. Das blöde daran ist nur, dass sich aus den Schlüsselanhängern alle besuchten Orte des Inhabers auslesen lassen. Ein Bericht und Video hierzu findet man in diesem Artikel.

Wie kommt es also dazu, dass diese Sicherheitslücken überhaupt im Code vorhanden sind? Im Fall der Luca App mutmaßen wir, dass es der selbe Grund wie in vielen großen Tech Firmen ist: Zeitdruck mit knappen Deadlines für die Programmierer. Hinter jedem Unternehmen steht ein Geschäftsmodell, womit versucht wird die Entwicklungszeit möglichst gering zu halten und möglichst als Erster und Schnellster in die Vermarktung und Verkauf zu gehen. Dadurch werden in der Planung der Architektur, also dem Aufbau der App, Abkürzungen genommen und meist nur der Schein von Verschlüsselung und Sicherheit geweckt.

So zum Beispiel auch bei der SMS Verifizierung von Geräten in der Luca App. Der Versand von Verifikations-SMS wird vom Staat (Lizenznehmer) bezahlt und es wird der Anschein von Überprüfung und Sicherheit vermittelt. Die Überprüfung dieser Codes passiert aber auf dem Handy des Nutzers und ist somit hinfällig. Eine genaue Erklärung dazu findet man hier.

Diese Art von Sicherheitslücken sind an sich nachvollziehbar, aber eben nur bis zu dem Punkt an dem öffentliche Gelder dafür ausgegeben werden. Anders kann es auch passieren wie bei der App Call Recorder mit der sich Gespräche auf dem Handy mitschneiden lassen. Hierbei standen mehr als 130.000 Aufnahmen von Gesprächen im Internet ungewollt zur Verfügung.

Bei diesem Datenleck wurden Web Services von Amazon, Microsoft oder Google nicht korrekt konfiguriert und dadurch waren gespeicherte Daten für jeden zugänglich. Wie es dazu kommt? Meist werden Apps und Plattformen mit weniger Sicherheitshürden programmiert, denn während dem Entwicklungsprozess stören diese beim Testen und Aufbauen von Funktionen. Sobald dieser Teil der Entwicklung dann abgeschlossen ist und Tests erfolgreich waren, wird es einfach vergessen. Hierbei ist dann entweder ein fehlendes Gespühr im Umgang mit sensiblen Daten verantwortlich oder ein schlechtes Qualitätsmanagement.

Auffällig ist, dass diese Datenlecks häufig auf Amazon, Microsoft oder Google Servern passieren. Diese Cloud Dienste machen es einfach eine App mit Backend zu betreiben, denn sie wachsen automatisch mit den Anforderungen mit. Kommen mehr Nutzer in die App dann passt sich die Serverleistung an und Entwickler zahlen nur den aktuellen Verbrauch anstatt einem fixen Monatsbetrag für einen verwendeten Server. Was aber oft fehlt ist das Know How diese neuen Cloud Services richtig zu konfigurieren und das führt zu Datenpannen.

Neben diesen Beispielen für Datenlecks und Sicherheitsrisiken gibt es noch unzählige weitere Gründe und Möglichkeiten, wie ein online Dienst Daten verlieren kann. Wichtig ist, was das für mich als Kunde bedeutet. Im Normalfall merkt die Einzelperson keinen direkten Einfluss von einer Datenpanne, ausser es geht um gestohlene Email Adressen, Passwörter, Zahlungsdaten oder Telefonnummern. Diese werden oft im Darknet gehandelt und für Spam, Phishing Attacken oder andere kriminelle Aktivitäten genutzt.

Darum ist es wichtig keine unnötigen Email Anhänge zu öffnen, vor allem nicht von unbekannten Absendern. Gleiches gilt für SMS oder WhatsApp Nachrichten. Besonders auf Handys sollte man Systemupdates machen, um sich gegen solche Attacken abzusichern. Zusätzlich kann man auf der Seite haveibeenpwned nachschauen, ob man Opfer einer Datenpanne geworden ist und welche Daten geklaut wurden. Vor allem seine Passwörter sollte man ändern, wenn man in dieser Liste einen Treffer erzielt.

Wenn du mehr über gute Praktiken in der Programmierung lernen willst empfehlen wir dir einen unserer Kurse zu besuchen. Wir legen Wert auf ein gutes Grundverständnis im Aufbau von Architekturen und den Umgang mit Sicherheit. Am besten meldest du dich für unseren Newsletter an um immer auf dem neusten Stand zu bleiben.