myGully.com Boerse.SH - BOERSE.AM - BOERSE.IO - BOERSE.IM Boerse.BZ .TO Nachfolger
Registrieren Hilfe myGully Toplist Heutige Beiträge
Zurück   myGully.com > Talk > News
Seite neu laden

[Brisant] Sicherheitslücke vorgeführt Luca-App bereitet Hackern den Weg in die Gesundheitsämter

Willkommen

myGully

Links

Forum

 
Antwort
Ersten ungelesenen Beitrag anzeigen Ersten ungelesenen Beitrag anzeigen  
Themen-Optionen Ansicht
Ungelesen 26.05.21, 14:50   #1
Avantasia
Super Moderatorin
 
Benutzerbild von Avantasia
 
Registriert seit: Mar 2009
Ort: South Bronx
Beiträge: 24.088
Bedankt: 63.037
Avantasia leckt gerne myGully Deckel in der Kanalisation! | 619510779 Respekt PunkteAvantasia leckt gerne myGully Deckel in der Kanalisation! | 619510779 Respekt PunkteAvantasia leckt gerne myGully Deckel in der Kanalisation! | 619510779 Respekt PunkteAvantasia leckt gerne myGully Deckel in der Kanalisation! | 619510779 Respekt PunkteAvantasia leckt gerne myGully Deckel in der Kanalisation! | 619510779 Respekt PunkteAvantasia leckt gerne myGully Deckel in der Kanalisation! | 619510779 Respekt PunkteAvantasia leckt gerne myGully Deckel in der Kanalisation! | 619510779 Respekt PunkteAvantasia leckt gerne myGully Deckel in der Kanalisation! | 619510779 Respekt PunkteAvantasia leckt gerne myGully Deckel in der Kanalisation! | 619510779 Respekt PunkteAvantasia leckt gerne myGully Deckel in der Kanalisation! | 619510779 Respekt PunkteAvantasia leckt gerne myGully Deckel in der Kanalisation! | 619510779 Respekt Punkte
Standard Sicherheitslücke vorgeführt Luca-App bereitet Hackern den Weg in die Gesundheitsämter
Zitat:
Über manipulierte Einträge ins Luca-System könnten Hacker angeschlossene Gesundheitsämter lahmlegen. Die Schwachstelle ist an sich längst bekannt. Dennoch lässt sie sich weiter ausnutzen, demonstriert ein Experte.




Der IT-Sicherheitsexperte Marcus Mengs hat in einem am Mittwoch veröffentlichten Video vorgeführt, wie er ein an die Luca-App angebundenes Gesundheitsamt lahmlegen könnte. Es handelt sich um einen Angriff, von dem Luca-Chef Patrick Hennig noch Anfang Mai gesagt hatte, dass er nicht möglich sei. Für Gesundheitsämter, die Lucas Nutzerdaten zu Check-ins bei Veranstaltungen oder in der Gastronomie zur Kontaktnachverfolgung von Corona-Infizierten verwenden, wird das System dadurch unter Umständen zur Gefahr.

Im Video ist zu sehen, wie Mengs zunächst die Daten anderer Luca-Nutzerinnen und -Nutzer abgreift, darunter Namen, Telefonnummern, Anschriften und E-Mail-Adressen. In einem weiteren Angriff schleust er einen Verschlüsselungstrojaner ins System des Gesundheitsamts ein – eine Erpresser-Schadsoftware, die Dateien und Laufwerke verschlüsselt und damit unbrauchbar macht.

Beide Angriffe funktionieren mit sogenannten code injections. Die sind im Video nicht zu sehen, wahrscheinlich, um Angreifern keine Tipps zu geben, laufen aber im Prinzip wie folgt ab: Mengs fügt als Luca-Nutzer bestimmte Sonderzeichen in die Eingabefelder für seine eigenen Daten ein, beispielsweise ins Feld für die Postleitzahl seiner Anschrift. Luca exportiert die Daten als CSV-Datei ans Gesundheitsamt. Wird die Datei dort mit Microsoft Excel geöffnet, interpretiert Excel die Sonderzeichen automatisch als Formel, und die Formel kann auszuführende Befehle enthalten.

Klingt nach einem Fehler von Microsoft, ist aber einer von Luca

Die Folge: »Grundsätzlich kann ein Angreifer beliebigen Code ausführen – mit den Rechten des am PC angemeldeten Nutzers«, wie Mengs dem SPIEGEL erklärte. Sprich: Täter könnten auf alles zugreifen, auf das auch die Person im Gesundheitsamt zugreifen kann. Was sich nach einem Fehler von Microsoft anhört, ist tatsächlich einer von Luca. Denn in Excel gibt es legitime und längst etablierte Einsatzszenarien für die Funktion, deshalb müsste Luca sicherstellen, dass die App saubere, also ungefährliche Daten liefert.

Dass die an sich altbekannte potenzielle Sicherheitslücke von Luca nicht von vornherein ausgeschlossen wird, ist seit dem 4. Mai öffentlich bekannt. Zu diesem Zeitpunkt gab es noch keine Demonstration der Lücke, sondern nur eine theoretische Beschreibung. Auf Anfrage von »Zeit Online« sagte Patrick Henning damals, Sonderzeichen seien erlaubt, da sie in Namen vorkämen. Aber: »Eine code injection über den Namen ist bei Luca im Gesundheitsamt nicht möglich.« Denn sollte im Namen Schadcode enthalten sein, werde dieser von einer Software-Bibliothek namens React, die Luca nutzt, entsprechend behandelt, und es werde »sichergestellt, dass hier kein Schaden entsteht«. Hinzu kämen »sicherlich« noch Schutzvorkehrungen in der Fachanwendung Sormas, die von den Gesundheitsämtern verwendet wird.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Ob eine rigorose Datenbereinigung aber wirklich immer und in allen Ämtern, die Luca nutzen, stattfindet, ist fraglich. Mengs ist sich jedenfalls sicher, dass seine Angriffe so wie von ihm vorgeführt funktionieren, sofern ein Gesundheitsamt die von Luca exportierten CSV-Dateien mit den darin enthaltenen manipulierten Einträgen zunächst in Excel öffnet.

Auf eine aktuelle Frage zur Aussage von Luca-Chef Henning, dass ein Angriff über Code Injection nicht möglich sei, hat NeXenio, die Firma hinter Luca, nicht direkt geantwortet. NeXenio stellt es in einem Statement am Mittwoch aber so dar, als habe man »heute« und »durch eine Medienanfrage und per Twitter« von der Angriffsmöglichkeit erfahren, nicht schon vor mehreren Wochen.
Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
__________________
Avantasia ist offline   Mit Zitat antworten
Folgendes Mitglied bedankte sich bei Avantasia:
Draalz (26.05.21)
Ungelesen 26.05.21, 20:12   #2
csesraven
Echter Freak
 
Registriert seit: Apr 2009
Beiträge: 2.360
Bedankt: 3.186
csesraven leckt gerne myGully Deckel in der Kanalisation! | 407296136 Respekt Punktecsesraven leckt gerne myGully Deckel in der Kanalisation! | 407296136 Respekt Punktecsesraven leckt gerne myGully Deckel in der Kanalisation! | 407296136 Respekt Punktecsesraven leckt gerne myGully Deckel in der Kanalisation! | 407296136 Respekt Punktecsesraven leckt gerne myGully Deckel in der Kanalisation! | 407296136 Respekt Punktecsesraven leckt gerne myGully Deckel in der Kanalisation! | 407296136 Respekt Punktecsesraven leckt gerne myGully Deckel in der Kanalisation! | 407296136 Respekt Punktecsesraven leckt gerne myGully Deckel in der Kanalisation! | 407296136 Respekt Punktecsesraven leckt gerne myGully Deckel in der Kanalisation! | 407296136 Respekt Punktecsesraven leckt gerne myGully Deckel in der Kanalisation! | 407296136 Respekt Punktecsesraven leckt gerne myGully Deckel in der Kanalisation! | 407296136 Respekt Punkte
Standard
Eine App, du Schrott ist aber gut promoted wurde.
csesraven ist offline   Mit Zitat antworten
Folgendes Mitglied bedankte sich bei csesraven:
Draalz (26.05.21)
Antwort

« Vorheriges Thema | Nächstes Thema »

Forumregeln
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
BB code is An
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.
Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:11 Uhr.


myGully - Archiv - Nach oben
Sitemap

().