Luca: Eine gravierende Sicherheitslücke ermöglicht Angriffe auf Einrichtungen des Gesundheitswesens.

0

Luca: Eine gravierende Sicherheitslücke ermöglicht Angriffe auf Einrichtungen des Gesundheitswesens.

Im Gegensatz zur Warn-App Corona stammt die Luca-App aus einer privaten Quelle, ist also nicht “offiziell”. Dennoch wird sie zunehmend von Veranstaltern und Catering-Unternehmen genutzt, um Kunden über die App einchecken zu lassen, wobei die Informationen anschließend an Gesundheitsämter gesendet werden. Sicherheitsbedenken tauchten sofort auf, und sie dürften heute mehr denn je wieder auftauchen: Eine Sicherheitslücke ermöglicht einen Angriff auf das Gesundheitsamt.

Darüber haben bereits mehrere Medien berichtet, unter anderem die Zeit. Demnach könnte in den Daten, die die Luca-App an die Gesundheitsbehörde sendet, Quellcode versteckt sein. Wenn solche Daten in CSV-Dateien eingeschmuggelt werden, gibt Excel eine Warnung aus, die aber von einigen Mitarbeitern der Gesundheitsämter ignoriert wird. Sie lautet: “Aktivieren Sie dieses Material nur, wenn Sie der Quelle der Datei vertrauen” – und die Luca-App gilt höchstwahrscheinlich als vertrauenswürdig.

Doch damit wäre es vorbei, denn dann könnte der Computer verschlüsselt und ein Lösegeld gefordert werden. Marcus Mengs hat diese Schwachstelle aufgedeckt und zeigt im Video oben, wie sie ausgenutzt werden kann. Die Ransomware könnte sich dann auf andere Systeme im Gesundheitsamt ausbreiten oder möglicherweise andere Büros infizieren. Da das Programm Sormas X zur Planung von Netzwerken verwendet wird, ist dies der Fall.

Wie bekommt man aber die entscheidenden Zeilen in die CSV-Datei? Ein Angreifer könnte dies erreichen, indem er wichtige Zeichen in den Namen oder die Adresse einfügt. Ein Fehler, den die Luca-App lange Zeit beging – man konnte Namen und Adressdaten mit Sonderzeichen an beliebiger Stelle hinterlassen. Trotz der getroffenen Sicherheitsvorkehrungen sieht Mengs nach wie vor eine Gefahr. Die Verantwortlichen für die Luca-App sind der Aufgabe einfach nicht gewachsen.

Auch der Chaos Computer Club hält die Sicherheitslücke für gravierend. Es sei möglich, Patientendaten zu stehlen, Informationen zu zerstören oder Computer mit Schadsoftware zu infizieren. Die verantwortlichen Macher von Nexenio sind bereits über das Problem informiert worden. Das Unternehmen hingegen spielt das Risiko herunter und nimmt es nicht ernst genug. Dies ist dort leider die Standardstrategie.

Im Folgenden ein Update:

Der Mechanismus verhindere derzeit die Angriffe, so die Macher der Luca-App. Die bereits getroffenen Maßnahmen wurden ausgeweitet. Allerdings sei es unwahrscheinlich, dass die Schwachstelle überhaupt effektiv ausgenutzt werden könne, da das Ausführen eines bösartigen Makros im Rahmen einer… Dieser Artikel wird so bald wie möglich aktualisiert.

Share.

Leave A Reply