Security Alert: Zwielichtige Anleitungen für Luca-App kursieren im Google Play Store
Die im Play Store aufgetauchte App namens „Luca App Helper“ des Entwicklers „Stephen Apps LLC“ verspricht, Nutzer bei der Bedienung der Luca-App zu unterstützen. Die Inhalte der App sind jedoch mehr als dürftig. Das mag erst einmal harmlos erscheinen, aber dennoch sind Apps wie diese ein Problem. Wer sich die Nutzungs- und Datenschutzbedingungen der App anschaut, stellt fest, dass unter Umständen Werbung in der App eingeblendet wird. Und das Anzeigen von Werbung ist eine beliebte Einnahmequelle für die Anbieter einer App. In diesem Falle ist das Werbenetzwerk von Google namens „AdMob“ eingebunden.
„Gerade bei Apps oder Webseiten mit Bezug zur Corona-Pandemie sollten Verbraucher besonders genau hinschauen“, sagt Alexander Burris, Lead Mobile Researcher bei G DATA CyberDefense. „Die von uns identifizierten Luca-Derivate haben bislang keine Schadfunktionen – diese könnten aber nachgeladen werden. Zudem versuchen die Macher der App, mit aus unserer Sicht unseriösen Methoden, ihre Apps zu monetarisieren.“
Schadfunktionen enthält die App zum Zeitpunkt der Veröffentlichung dieses Artikels nicht – diese können jedoch mit einem Update in Zukunft den Benutzern untergeschoben werden. Das betrifft natürlich grundsätzlich jede App. aber gerade in Fällen wie diesen ist ganz besondere Vorsicht geboten.
Auch eine App des Anbieters „HappyApps.co“ schlägt in die gleiche Kerbe. Geworben wird mit Bildmaterial aus dem Fundus der „echten“ Luca-App, teilweise sind Textpassagen 1:1 kopiert. Auch die Icons der Apps suggerieren, dass es sich hier um offizielle Apps handeln könnte, auch wenn in der App-Beschreibung ausdrücklich steht, dass es sich nicht um eine offizielle Veröffentlichung handelt. Unmittelbar ist das allerdings nicht zu erkennen.
Berechtigungen
Die „Luca app Helper“ (sic!) – Anwendung verfügt nicht über besondere Berechtigungen – lediglich der Zugriff auf die Internetverbindung wird bei Installation verlangt. Anders sieht es aber bei der „Guia local app“ (sic!) aus. Die App gibt sich ebenfalls als ein „Leitfaden“ (Guide) für die Luca-App aus, verlangt aber wesentlich mehr Berechtigungen – darunter auch die Berechtigung „Beim Systemstart laden“ und „Gerät daran hindern, in den Ruhemodus zu gehen“. Warum allerdings ein bloßer Leitfaden genau diese Berechtigung benötigt, ist unklar.
Umstrittene Luca-App
Schon seit ihrer Veröffentlichung steht die Luca-App in der Kritik, vor allem aus dem Lager der Datenschützer. Das Konzept der App verletze einige „grundlegende Entwicklungsprinzipien“ – vor allem im Bereich des Datenschutzes. Kritische Daten sind teils mangelhaft verschlüsselt und werden noch dazu zentral gespeichert. Eine künftige Monetarisierung der Daten ist denkbar. Wer sich Zugang zu den von der Luca-App gesammelten Daten verschaffen kann, hat hier weitreichende Möglichkeiten für den Missbrauch dieser Informationen. Dass Daten eben nicht zentral vorgehalten werden, ist eines der Kernkonzepte der Corona-Warn-App, deren offenes Entwicklungs- und Datenschutzkonzept selbst vom traditionell skeptischen Chaos Computer Club (CCC) gelobt wurde. Dagegen forderte der CCC eine „Notbremse“ für die Luca-App, deren Entwicklungsprozess das krasse Gegenteil von dem war, was die Corona-Warn-App repräsentierte.
Trittbrettfahrer
Bisher ist die Anzahl der Installationen der beiden genannten Apps nicht besonders hoch. Insgesamt vereinen die beiden „Guide“-Apps für Luca weniger als 2000 Installationen. Dennoch ist auch hier ein Trend zu erkennen, der bei anderen beliebten Apps ebenfalls zu sehen ist: Sobald eine App eine gewisse Reichweite besitzt, werden andere versuchen, daraus Kapital zu schlagen. Das gilt nicht nur für die umstrittene Luca-App, sondern für jede App, die auf vielen Geräten installiert ist.
Umso wichtiger ist es, bei der Installation genau darauf zu achten, welche Berechtigungen die App sich genehmigen möchte. Im Zweifel ist es besser, die Zustimmung zu verweigern oder sie zumindest im Nachhinein zu entziehen.
Mit umfassenden Cyber-Defense-Dienstleistungen macht der deutsche Erfinder des AntiVirus Unternehmen verteidigungsfähig gegen Cybercrime. Mehr als 500 Mitarbeiter sorgen für die digitale Sicherheit von Unternehmen und Anwendern. „Made in Germany“: Mit über 30 Jahren Expertise in Malwareanalyse betreibt G DATA Forschung und Softwareentwicklung ausschließlich in Deutschland. Höchste Ansprüche an den Datenschutz sind oberstes Gebot. Bereits 2011 hat G DATA mit dem Vertrauenssiegel „IT Security Made in Germany“ des TeleTrust e.V. eine „No-Backdoor“-Garantie abgegeben.
G DATA bietet ein umfassendes Portfolio von AntiVirus und Endpoint Protection über Penetrationstests und Incident Response bis zu forensischen Analysen, Security-Status-Checks und Cyber-Awareness-Trainings, um Unternehmen wirksam zu verteidigen. Neue Technologien wie DeepRay schützen mit Künstlicher Intelligenz vor Malware.
Service und Support gehören zum mit Ökostrom betriebenen G DATA Campus in Bochum, wie das Trojan Horse Café und das Bistro.
G DATA Lösungen sind in 90 Ländern erhältlich und wurden vielfach ausgezeichnet, zuletzt mit einem Doppelsieg beim PUR-Award für Malware Protection und E-Mail-Security.
G DATA CyberDefense AG
Königsallee 178
44799 Bochum
Telefon: +49 (234) 9762-0
Telefax: +49 (234) 9762-299
http://www.gdata.de
Security Evangelist
Telefon: +49 (234) 9762-178
E-Mail: Tim.Berghoff@gdata.de