Meldung vom 29. April 2021

Security Alert: Zwielichtige Anleitungen für Luca-App kursieren im Google Play Store

Derzeit versuchen einige Entwickler, im Fahrwasser der Luca-App mitzuschwimmen. Bisher enthalten die Apps zwar keinerlei Schadfunktionen, aber Skepsis ist angebracht. Zumindest ermöglicht die App dem Autor, mit Hilfe von Werbung Kapital aus der Luca-App zu schlagen.

Die im Play Store aufgetauchte App namens „Luca App Helper“ des Entwicklers „Stephen Apps LLC“ verspricht, Nutzer bei der Bedienung der Luca-App zu unterstützen. Die Inhalte der App sind jedoch mehr als dürftig. Das mag erst einmal harmlos erscheinen, aber dennoch sind Apps wie diese ein Problem. Wer sich die Nutzungs- und Datenschutzbedingungen der App anschaut, stellt fest, dass unter Umständen Werbung in der App eingeblendet wird. Und das Anzeigen von Werbung ist eine beliebte Einnahmequelle für die Anbieter einer App. In diesem Falle ist das Werbenetzwerk von Google namens „AdMob“ eingebunden.

Alexander Burris

Gerade bei Apps oder Webseiten mit Bezug zur Corona-Pandemie sollten Verbraucher besonders genau hinschauen. Die von uns identifizierten Luca-Derivate haben bislang keine Schadfunktionen – diese könnten aber nachgeladen werden. Zudem versuchen die Macher der App, mit aus unserer Sicht unseriösen Methoden, ihre Apps zu monetarisieren.

Alexander Burris

Lead Mobile Researcher bei G DATA CyberDefense

Schadfunktionen enthält die App zum Zeitpunkt der Veröffentlichung dieses Artikels nicht – diese können jedoch mit einem Update in Zukunft den Benutzern untergeschoben werden. Das betrifft natürlich grundsätzlich jede App. Aber gerade in Fällen wie diesen ist ganz besondere Vorsicht geboten.

Auch eine App des Anbieters „HappyApps.co“ schlägt in die gleiche Kerbe. Geworben wird mit Bildmaterial aus dem Fundus der „echten“ Luca-App, teilweise sind Textpassagen 1:1 kopiert. Auch die Icons der Apps suggerieren, dass es sich hier um offizielle Apps handeln könnte, auch wenn in der App-Beschreibung ausdrücklich steht, dass es sich nicht um eine offizielle Veröffentlichung handelt. Unmittelbar ist das allerdings nicht zu erkennen.

Umstrittene Luca-App

Die Luca-App ist selbst nicht unumstritten, wie auch Die Zeit berichtet (Link öffnet sich in einem neuen Fenster). Schon seit ihrer Veröffentlichung steht die Luca-App in der Kritik, vor allem aus dem Lager der Datenschützer. Das Konzept der App verletze einige „grundlegende Entwicklungsprinzipien“ – vor allem im Bereich des Datenschutzes. Kritische Daten sind teils mangelhaft verschlüsselt und werden noch dazu zentral gespeichert. Eine künftige Monetarisierung der Daten ist denkbar. Wer sich Zugang zu den von der Luca-App gesammelten Daten verschaffen kann, hat hier weitreichende Möglichkeiten für den Missbrauch dieser Informationen. Dass Daten eben nicht zentral vorgehalten werden, ist eines der Kernkonzepte der Corona-Warn-App, deren offenes Entwicklungs- und Datenschutzkonzept selbst vom traditionell skeptischen Chaos Computer Club (CCC) gelobt wurde. Dagegen forderte der CCC eine „Notbremse“ für die Luca-App, deren Entwicklungsprozess das krasse Gegenteil von dem war, was die Corona-Warn-App repräsentierte.

Berechtigungen

Die „Luca app Helper“ (sic!) – Anwendung verfügt nicht über besondere Berechtigungen – lediglich der Zugriff auf die Internetverbindung wird bei Installation verlangt. Anders sieht es aber bei der „Guia local app“ (sic!) aus. Die App gibt sich ebenfalls als ein „Leitfaden“ (Guide) für die Luca-App aus, verlangt aber wesentlich mehr Berechtigungen – darunter auch die Berechtigung „Beim Systemstart laden“ und „Gerät daran hindern, in den Ruhemodus zu gehen“. Warum allerdings ein bloßer Leitfaden genau diese Berechtigung benötigt, ist unklar.

Trittbrettfahrer

Bisher ist die Anzahl der Installationen der beiden genannten Apps nicht besonders hoch. Insgesamt vereinen die beiden „Guide“-Apps für Luca weniger als 2000 Installationen. Dennoch ist auch hier ein Trend zu erkennen, der bei anderen beliebten Apps ebenfalls zu sehen ist: Sobald eine App eine gewisse Reichweite besitzt, werden andere versuchen, daraus Kapital zu schlagen. Das gilt nicht nur für die umstrittene Luca-App, sondern für jede App, die auf vielen Geräten installiert ist.

Umso wichtiger ist es, bei der Installation genau darauf zu achten, welche Berechtigungen die App sich genehmigen möchte. Im Zweifel ist es besser, die Zustimmung zu verweigern oder sie zumindest im Nachhinein zu entziehen.

Media:

Meldung vom 29. April 2021

G DATA CyberDefense AG
Unternehmenskommunikation
Königsallee 178 • 44799 Bochum

Kathrin Beckert-Plewka
Public Relations Manager

Kontakt

Kathrin Beckert-Plewka

Phone: +49 234 9762 - 507
kathrin.beckert@remove-this.gdata.de

Vera Haake
Pressesprecherin

Kontakt

Vera Haake

Phone: +49 234 9762 - 376
vera.haake@remove-this.gdata.de

Stefan Karpenstein
Public Relations Manager

Kontakt

Stefan Karpenstein

Phone: +49 234 9762 - 517
stefan.karpenstein@remove-this.gdata.de