ETH-Forschende tricksen Easyride der SBB aus

15. Mai 2024 um 11:28
  • security
  • ETH
  • developer
  • smartphone
image
Foto: SBB

Den Standortdaten eines Smartphones sollte nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

Mit der Easyride-​Funktion in der SBB-​App ist das Reisen mit Bahn, Bus und Tram ganz einfach: Statt ein klassisches Billett zu lösen, starten die Nutzerinnen und Nutzer ihre Fahrt mit einem Wisch auf dem Smartphone. Am Ende der Fahrt wischen sie wieder zurück und checken damit aus. Als Fahrausweis dient ihnen ein QR-​Code, der auf dem Smartphone angezeigt wird. Er bestätigt einem Billettkontrolleur, dass die Easyride-​Funktion aktiviert ist.
Während der Fahrt sendet die App laufend Standortdaten an einen SBB-​Server. Der Server berechnet daraus die zurückgelegte Strecke, und die SBB stellt dem Nutzer anschliessend die Fahrtkosten in Rechnung. Im vergangenen Jahr gelang es ETH-​Forschenden, das System auszutricksen. Die Easyride-​Funktion verlässt sich auf die Standortdaten des Smartphones. Nutzerinnen und Nutzer mit Fachwissen können diese Daten aber manipulieren.

Kontrolleur bemerkte nichts

Laut den SBB würde ein solcher Betrug heute erkannt. Vor einem Jahr war das noch anders: Forschende und Studierende aus der Gruppe von Kaveh Razavi, Professor für Computersicherheit an der ETH Zürich, veränderten ein Smartphone so, dass die GPS-​Standortdaten – auf die die SBB-​App zugreift – mit gefälschten, aber realistisch wirkenden Standortinformationen überschrieben wurden. Diese Daten täuschten vor, der Nutzer bewege sich ausschliesslich in einer Stadt, ohne ein öffentliches Verkehrsmittel zu benutzen.
Die Forschenden verwendeten zwei Ansätze: In einem Fall erzeugte ein Programm die gefälschten Standortdaten direkt auf dem Smartphone. Im anderen Fall war das Smartphone mit einem Server verbunden, auf dem die SBB-​App lief. Dieser Server generierte die gefälschten Standortdaten und übermittelte den Easyride-​QR-Code an das Smartphone.
Die ETH-​Forschenden testeten das von ihnen präparierte Smartphone auf mehreren Zugfahrten von Zürich in die Hauptstadt eines Nachbarkantons. Weder bei den Billettkontrollen im Zug fiel der Betrug auf, noch wurden die Nutzer im Nachhinein von den SBB kontaktiert. Stattdessen berechneten die SBB die Kosten der vorgetäuschten kleinräumigen Bewegungen, für die kein öffentliches Verkehrsmittel benutzt wurde.
Das heisst, die Forschenden konnten mit Easyride kostenlos reisen. Sie betonen, dass sie bei allen Tests immer zusätzlich ein gültiges Billett dabei hatten.

Standortdaten nicht vertrauenswürdig

Zwar brauche es Fachwissen, um das eigene Smartphone zu manipulieren. Das sei aber Wissen, über das Informatik-​Studentinnen und -​Studenten bereits ab Bachelorstufe verfügten, sagt Razavi. Mit entsprechend krimineller Energie wäre es sogar möglich, ein Smartphone-​Programm und einen Online-Dienst anzubieten, um auch Betrugswillige ohne Informatikkenntnisse mit gefälschten, aber plausibel erscheinenden Standortdaten zu versorgen.
"Es ist ganz grundsätzlich so: Die Standortdaten eines Smartphones sind manipulierbar, und man kann ihnen nicht trauen", sagt Michele Marazzi, Doktorand in Razavis Gruppe. "App-​Entwickler sollten sie daher nicht als vertrauenswürdige Daten behandeln. Darauf wollten wir mit unserer Arbeit aufmerksam machen." Wenn die Standortdaten wie in der SBB-​App verwendet werden, um eine Leistung zu berechnen und zu fakturieren, müsse das besser berücksichtigt werden.

Abgleich mit vertrauenswürdigen Daten

Zur Lösung des Problems schlagen die Forschenden zwei Ansätze vor: Entweder müssen die Standortdaten mit vertrauenswürdigen Standortmeldungen verifiziert werden, oder die Smartphone-​Ortung muss grundlegend verändert werden, damit eine Manipulation sehr viel schwieriger wird.
Beim ersten Ansatz wäre es zum Beispiel möglich, die vom Smartphone eines Nutzers übermittelten Informationen mit Standortdaten zu vergleichen, denen ein Transportunternehmen traut, zum Beispiel mit denen des Fahrzeugs oder des Mobilgeräts eines Kontrolleurs.
Der zweite Ansatz ist schwieriger. Dazu müsste man die Entwickler von Smartphone-​Hardware und -​Betriebssystemen an einen Tisch bringen, und sie davon überzeugen, eine neuartige manipulationssichere Ortungstechnologie zu entwickeln. "Bis es so weit ist, bleibt allen, die sich auf die Standortinformationen von Smartphones verlassen müssen, nichts anderes übrig, als diese sie so gut wie möglich mit einer vertrauenswürdigen Standortdatenquelle zu verifizieren", sagt ETH-​Professor Razavi.
Die ETH-​Forschenden informierten die SBB über die Schwachstelle in der Easyride-​Funktion und standen während des letzten Jahres mit deren Fachleuten in Kontakt. Dabei präsentierten sie ihnen auch Lösungen, mit denen die Sicherheit der Funktion erhöht werden kann.
Die SBB legen Wert auf die Feststellung, dass es strafbar ist, die Easyride-​Funktion mit manipulierten Standortdaten zu benutzen. Nach eigenen Angaben haben die SBB nach den Hinweisen des ETH-​Forscherteams die Überprüfung der an den Server übermittelten Standortdaten verbessert. Manipulationen werden heute laut den SBB im Nachhinein erkannt und zur Anzeige gebracht. Wie die Überprüfung genau erfolgt, geben die SBB aus Sicherheitsgründen nicht bekannt. (Fabio Bergamin / ETH News)

Loading

Mehr erfahren

Mehr zum Thema

image

Slack-KI bietet "Support" für Cyberkriminelle

Angreifer können dank Künstlicher Intelligenz über eine Sicherheitslücke an sensible Daten kommen, sogar aus Privatnachrichten.

publiziert am 22.8.2024
image

Bund arbeitet für Cybersicherheit enger mit EU zusammen

Der Bundesrat genehmigt die Mitgliedschaft bei der European Cyber Security Organisation sowie die Mitwirkung an einem EU-Projekt für gemeinsame Cyberverteidigung.

publiziert am 21.8.2024
image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024
image

Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

publiziert am 20.8.2024