Easyride-Funktion der SBB-App kann mit Fake-Standort ausgetrickst werden
Quelle: SBB

Easyride-Funktion der SBB-App kann mit Fake-Standort ausgetrickst werden

Security-Forscher der ETH konnten die Easyride-Funktion in der SBB-App mit gefälschten Standortdaten überlisten. Das Problem scheint nur teilweise gelöst, die SBB will aber genauer auf allfälligen Missbrauch achten.
15. Mai 2024

     

In der SBB-App findet sich offenbar eine Lücke, dank der es grundsätzlich möglich ist, die Easyride-Funktion auszutricksen. Easyride erlaubt das Ein- und Auschecken bei der Zugreise via Swipe-Schalter in der SBB-App. Die zurückgelegte Strecke wird durch das GPS-Signal des Geräts erfasst. Forschenden der ETH gelang es laut Medienmitteilung, das GPS-Signal so zu verfälschen, dass es den Anschein machte, dass sich der Kunde kaum bewegt. Und damit registrierte die SBB-App auch keine verrechenbare Strecke.


Das Ganze klappte sogar mit zwei unterschiedlichen Vorgehensweisen, wie die ETH weiter schreibt: Einmal wurden die gefälschten Standortdaten direkt auf dem Smartphone erzeugt, beim zweiten Ansatz war das Smartphone mit einem Server verbunden, auf dem die SBB-App lief und der falschen GPS-Signale ans Smartphone schickte. Bei Tests merkten die Billet-Kontrolleure in den Tests nichts, auch wurde der Betrug im Nachhinein nicht geahndet (die Forschenden betonen, stets auch ein zweites, gültiges Ticket gekauft zu haben).
Der Fehler wurde der SBB gemeldet. Laut den Bundesbahnen habe man entsprechende Massnahmen getroffen und würde einen solchen Versuch nun bemerken – spätestens im Nachhinein – und reagieren können. Man habe nach den Hinweisen des ETH-Forscherteams die Überprüfung der an den Server übermittelten Standortdaten verbessert, wie es heisst. Selbstverständlich ist die Nutzung des Tricks strafbar und wird laut SBB zur Anzeige gebracht.


Das Fazit ist, so die Forschenden, dass man Standortdaten auf Smartphones nicht vertrauen dürfe, was vor allem App-Entwicklern bewusst sein müsse, wenn sie GPS-Funktionen in ihre Applikationen einbauen. Denkbar wäre nämlich nicht nur die Manipulation der Standortdaten durch technisch versierte Nutzer, es wäre wohl auch möglich, die Versorgung mit gefälschten Standortdaten als Service zu verkaufen. Zur Lösung schreiben die Forschenden: "Entweder müssen die Standortdaten mit vertrauenswürdigen Standortmeldungen verifiziert werden, oder die Smartphone-Ortung muss grundlegend verändert werden, damit eine Manipulation sehr viel schwieriger wird." Für den zweiten Ansatz müssten aber Hardware-Hersteller und OS-Entwickler für die Entwicklung einer manipulationssicheren Ortung zusammenarbeiten, was auf kurze Sicht wohl eher unrealistisch ist. "Bis es so weit ist, bleibt allen, die sich auf die Standortinformationen von Smartphones verlassen müssen, nichts anderes übrig, als diese sie so gut wie möglich mit einer vertrauenswürdigen Standortdatenquelle zu verifizieren", kommentiert Kaveh Razavi, Professor für Computersicherheit an der ETH Zürich. (win)


Weitere Artikel zum Thema

DDoS-Angriff auf Bundesverwaltung und SBB

12. Juni 2023 - Russische Hacker haben am russischen Nationalfeiertag Websites der Schweizer Bundesverwaltung und Online Services der SBB mit einer Distributed-Denial-of-Service-Attacke lahmgelegt.

SBB mit öffentlichem Bug-Bounty-Programm

20. Februar 2023 - Die SBB wollen Bugs auf Swisspass.ch und anderen Online-Plattformen auf die Spur kommen und starten ein Bug-Bounty-Programm, gestützt durch Intigrity.com.

SBB sind Opfer einer Cyberattacke

9. Februar 2023 - Mittels E-Mails und angehängter Schadsoftware konnten Cyberkriminelle in einen Teil des Unternehmensnetzwerks eindringen. Es wurden aber keine Kundendaten geklaut.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER