Forschende überlisten Easyride-Funktion der SBB
Experimente von Computersicherheitsforschenden der ETH Zürich haben gezeigt: Smartphones lassen sich manipulieren, um damit in der Schweiz kostenlos Zug zu fahren. Die Wissenschaftler pr?sentieren auch Wege, um solchen Missbrauch einzud?mmen.
- Vorlesen
- Anzahl der Kommentare
In Kürze
- Wer über das n?tige Wissen verfügt, kann die Standortinformationen des eigenen Smartphones manipulieren.
- ETH-Forschenden gelang es auf diese Weise, die SBB-App zu t?uschen. Sie zeigten: Es w?re so m?glich, gratis Zug zu fahren.
- Die Forschenden haben die SBB informiert. Diese haben nach eigenen Angaben inzwischen Massnahmen ergriffen. Heute würde ein solcher Betrug zumindest im Nachhinein auffallen und geahndet werden.
Mit der Easyride-Funktion in der SBB-App ist das Reisen mit Bahn, Bus und Tram ganz einfach: Statt ein klassisches Billett zu l?sen, starten die Nutzerinnen und Nutzer ihre Fahrt mit einem Wisch auf dem Smartphone. Am Ende der Fahrt wischen sie wieder zurück und checken damit aus. Als Fahrausweis dient ihnen ein QR-Code, der auf dem Smartphone angezeigt wird. Er best?tigt einem Billettkontrolleur, dass die Easyride-Funktion aktiviert ist. W?hrend der Fahrt sendet die App laufend Standortdaten an einen SBB-Server. Der Server berechnet daraus die zurückgelegte Strecke, und die SBB stellt dem Nutzer anschliessend die Fahrtkosten in Rechnung.
Easyride ist seit 2018 in der ganzen Schweiz im Einsatz. Im vergangenen Jahr gelang es ETH-Forschenden jedoch, das System auszutricksen. Die Easyride-Funktion verl?sst sich auf die Standortdaten des Smartphones. Nutzerinnen und Nutzer mit Fachwissen k?nnen diese Daten aber manipulieren. Laut den SBB würde ein solcher Betrug heute erkannt.
Kontrolleure bemerkten nichts
Vor einem Jahr war das noch anders: Forschende und Studierende aus der Gruppe von Kaveh Razavi, Professor für Computersicherheit an der ETH Zürich, vermuteten damals, dass sich die Easyride-Funktion überlisten l?sst, und stellten sie auf die Probe. Sie ver?nderten ein Smartphone so, dass deren GPS-Standortdaten – auf die die SBB-App zugreift – mit gef?lschten, aber realistisch wirkenden Standortinformationen überschrieben wurden. Diese Daten t?uschten vor, der Nutzer bewege sich ausschliesslich auf engem Raum in einer Stadt, ohne ein ?ffentliches Verkehrsmittel zu benutzen.
Die Forschenden verwendeten zwei Ans?tze: In einem Fall erzeugte ein Programm die gef?lschten Standortdaten direkt auf dem Smartphone. Im anderen Fall war das Smartphone mit einem Server verbunden, auf dem die SBB-App lief. Dieser Server generierte die gef?lschten Standortdaten und übermittelte den Easyride-QR-Code an das Smartphone.
?Die Standortdaten eines Smartphones sind manipulierbar, und man kann ihnen nicht trauen.?Michele Marazzi
Die ETH-Forschenden testeten das von ihnen pr?parierte Smartphone auf mehreren Zugfahrten von Zürich in die Hauptstadt eines Nachbarkantons. Weder bei den Billettkontrollen im Zug fiel der Betrug auf, noch wurden die tricksenden Nutzer im Nachhinein von den SBB kontaktiert. Stattdessen berechneten die SBB die Kosten der vorget?uschten kleinr?umigen Bewegungen, für die kein ?ffentliches Verkehrsmittel benutzt wurde. Das heisst, die Forschenden konnten mit Easyride kostenlos reisen. Sie betonen, dass sie bei allen Tests immer zus?tzlich ein gültiges Billett dabei hatten. Dem Billettkontrolleur zeigten sie jedoch den Easyride-QR-Code.
Standortdaten nicht vertrauenswürdig
Zwar braucht es Fachwissen, um das eigene Smartphone zu manipulieren. Das sei aber Wissen, über das Informatik-Studentinnen und -Studenten bereits ab Bachelorstufe verfügten, sagt Razavi. Mit entsprechender krimineller Energie w?re es sogar m?glich, ein Smartphone-Programm und einen Onlinedienst anzubieten, um auch Betrugswillige ohne Informatikkenntnisse mit gef?lschten, aber plausibel erscheinenden Standortdaten zu versorgen.
?Es ist ganz grunds?tzlich so: Die Standortdaten eines Smartphones sind manipulierbar, und man kann ihnen nicht trauen?, sagt Michele Marazzi, Doktorand in Razavis Gruppe. ?App-Entwickler sollten sie daher nicht als vertrauenswürdige Daten behandeln. Darauf wollten wir mit unserer Arbeit aufmerksam machen.? Wenn die Standortdaten wie in der SBB-App verwendet werden, um eine Leistung zu berechnen und zu fakturieren, müsse das besser berücksichtigt werden.
Abgleich mit vertrauenswürdigen Daten
Zur L?sung des Problems schlagen die Forschenden zwei Ans?tze vor: Entweder müssen die Standortdaten mit vertrauenswürdigen Standortmeldungen verifiziert werden, oder die Smartphone-Ortung muss grundlegend ver?ndert werden, damit eine Manipulation sehr viel schwieriger wird. Beim ersten Ansatz w?re es zum Beispiel m?glich, die vom Smartphone eines Nutzers übermittelten Informationen mit Standortdaten zu vergleichen, denen ein Transportunternehmen traut, zum Beispiel mit denen des Fahrzeugs oder des Mobilger?ts eines Kontrolleurs.
Der zweite Ansatz ist schwieriger. Dazu müsste man die Entwickler von Smartphone-Hardware und -Betriebssystemen an einen Tisch bringen, und sie davon überzeugen, eine neuartige manipulationssichere Ortungstechnologie zu entwickeln. ?Bis es so weit ist, bleibt allen, die sich auf die Standortinformationen von Smartphones verlassen müssen, nichts anderes übrig, als diese sie so gut wie m?glich mit einer vertrauenswürdigen Standortdatenquelle zu verifizieren?, sagt ETH-Professor Razavi.
Die ETH-Forschenden informierten die SBB über die Schwachstelle in der Easyride-Funktion und standen w?hrend des letzten Jahres mit deren Fachleuten in Kontakt. Dabei pr?sentierten sie ihnen auch die L?sungen, mit denen die Sicherheit der Funktion erh?ht werden kann.
Die SBB legen Wert auf die Feststellung, dass es strafbar ist, die Easyride-Funktion mit manipulierten Standortdaten zu benutzen. Nach eigenen Angaben haben die SBB nach den Hinweisen des ETH-Forscherteams die ?berprüfung der an den Server übermittelten Standortdaten verbessert. Manipulationen werden heute laut den SBB im Nachhinein erkannt und zur Anzeige gebracht. Wie die ?berprüfung genau erfolgt, geben die SBB aus Sicherheitsgründen nicht bekannt.