Sicherheitsexperten ist es gelungen, mittels weniger Schritte Besuchsorte der letzten 30 Tagen eines Luca-Nutzers herauszufinden. Dazu muss der betroffene Nutzer den Schlüsselanhänger des Luca-Systems verwenden und der Angreifer einen temporären Zugang zu einem Luca-Terminal in einer Gaststätte haben. Demnach lässt sich die Browser-Anwendung von Luca in einer Gaststätte leicht manipulieren.
Foto: Camilo Concha / Shutterstock
Dafür ist auf der Webseite mit der Scanner-Anwendung ein sogenannter Breakpoint notwendig – ein Schnippel Code, der sich auch lokal bzw. direkt im Browser per Einstellungen einsetzen lässt. Dieser Code kann die Informationen der gescannten QR-Codes auslesen. Da die Schlüsselanhänger des Luca-Systems nicht nur die personifizierten Daten wie Check-ins etc. beinhalten, sondern gleichzeitig dazu auch Schlüssel zu deren Entschlüsselung, kann sich ein Eingreifer dies zunutze machen, und die Infos abgreifen.
Über ein manipuliertes Terminal gestohlene Daten lassen sich in der Luca Web-App einsehen und aktualisieren. Dafür sind nach den Angaben der Finder dieser Lücke nur wenige Anpassungen des Browsers notwendig. Durch diese Schwachstelle können Dritte ohne Wissen des Nutzers an folgende Daten gelangen:
Die eigentlichen Personendaten wie der Name, Adresse und verifizierte Telefonnummer lassen sich mit der Methode nicht auslesen. Wie die Experten behaupten, können die Angreifer aber auch selbst anhand der besuchten Orte recht leicht auf eine bestimmte Person schließen. Das hat übrigens in der Vergangenheit auch "New York Times" mit ihrer Recherche über das Bewegungsprofil des US-Präsidenten Trump bewiesen.
14.000 Anhänger betroffen, Hersteller reagiert
Von Luca-Track, so wird die Lücke genannt, sind alle ausgestellten Schlüsselanhänger des Luca-Systems betroffen, aktuell sind laut Nexenio 14.000 davon registriert. Bedenklich ist zudem, dass schon ein Foto des betroffenen Codes ausreicht, um an die Check-ins zu kommen. Das kann man recht leicht mit der Smartphone-Kamera und ohne Wissen des Betroffenen erledigen. Eine größere Hürde ist natürlich das manipulierte Web-Terminal in der Gaststätte.
Die Betreiber des Luca-Systems haben rasch reagiert und nach eigenen Angaben die Möglichkeit deaktiviert, mit den Schlüsselanhängern einzuchecken. Diese hätten den Zweck, dass auch Leute ohne Smartphone an dem System teilhaben könnten, die Codes auf den Schlüsselanhängern seien so individuell wie Telefonnummern – die man auch nicht besser im Netz veröffentlicht. Zu keinem Zeitpunkt, so haben uns die Betreiber versichert, seien hinterlegte Kontaktdaten wie Name, Adresse oder Telefonnummer abgerufen worden. (Macwelt)