Standortdaten auf Smartphones sind keine sicheren Daten
ETH-Forschende haben herausgefunden, dass Standortdaten auf Smartphones manipulierbar sind. Sie bewiesen das anhand der SBB-APP und fuhren so kostenlos in der Schweiz mit dem Zug. Gleichzeitig stellten sie zwei Lösungsmöglichkeiten für dieses Problem vor.
Die Easyride-Funktion soll die Nutzung des ÖPNV noch einfacher gestalten. Forschende tricksten das System aus.
Foto: Keystone-SDA
„Es ist ganz grundsätzlich so: Die Standortdaten eines Smartphones sind manipulierbar, und man kann ihnen nicht trauen“, sagt Michele Marazzi, Doktorand in der Forschergruppe um Kaveh Razavi, Professor für Computersicherheit an der ETH Zürich. „App-Entwickler sollten sie daher nicht als vertrauenswürdige Daten behandeln.“ Genau das hat die Forschergruppe mittels eines Experiments jüngst bewiesen. Als Instrument dafür wählten sie die SBB-App. Die Schweizerische Bundesbahnen AG (SBB) stellt in der Schweiz das öffentliche Verkehrsnetz in Form von Zug, Bus und Straßenbahn. Über die App können Fahrgäste ihre Tickets einfach online kaufen.
Cybersicherheit im Blick: Welche Branchen sind besonders gefährdet?
Darüber hinaus bietet die App sogar eine sogenannte Easyride-Funktion. Sie ersetzt das klassische Ticket und funktioniert folgendermaßen: Wer in der Schweiz einen Zug, einen Bus oder eine Straßenbahn betritt, wischt beim Antritt der Fahrt einfach einmal auf dem Smartphone, wenn die SBB-App geöffnet ist. Damit checken die Fahrgäste praktisch ein und ab diesem Zeitpunkt dienen die Standortdaten, welche über das Smartphone gesendet werden, als Berechnungsgrundlage. Beim Verlassen des öffentlichen Verkehrsmittels wischen die Fahrgäste in der App einfach wieder und checken damit aus. Auf Basis der Standortdaten berechnet der SBB-Server dann im Anschluss die Fahrtstrecke und die dafür notwenigen Fahrtkosten.
Mit gefälschten Standortdaten kostenlos Zug fahren
Die Funktion Easyride ist seit 2018 in der gesamten Schweiz im Einsatz. Schon im vergangenen Jahr testeten die Forschenden diese Funktion und konnten sie dabei überlisten. Dafür nahmen sie Veränderungen an den Smartphones vor: Sie überschrieben die echten GPS-Standortdaten mit gefälschten. Diese wirkten aber so realistisch, dass die SBB-App diesen Betrug nicht erkannte. So war es möglich, mit den Daten einen sehr kleinen Bewegungsradius zu erzeugen, der belegte, dass keine öffentlichen Verkehrsmittel benutzt wurden. Gleichzeitig erzeugte die SBB-App aber ein gültiges Ticket. Die Forschenden testeten in ihrem Experiment zwei verschiedene Ansätze: In dem einen Fall gab es ein Programm auf dem Smartphone, das die gefälschten Daten erzeugt. Im zweiten Fall gab es eine Verbindung zwischen Smartphone und einem Server, auf dem die SBB-App lief. Dabei lieferte der Server die getürkten Standortdaten und übermittelte sie anschließend direkt an das Smartphone in Form eines Easyride-QR-Codes.
Die Studierenden testeten dies auf mehren Fahrten von Zürich in die Hauptstadt eines Nachbarkantons. Bei den Kontrollen im Zug fiel der Betrug nicht auf. Auch im Zuge der Abrechnung stellte die SBB keinerlei Ungereimtheiten fest. Die Forschenden nutzen die öffentlichen Verkehrsmittel also umsonst. Sie betonen dabei allerdings, dass sie zu allen Testfahrten immer ein zusätzliches gültiges Ticket dabeihatten.
Zwei Lösungen, um gefälschte Standortdaten zu erkennen
Die Forschenden sind sich darüber einig, dass die Manipulation der Standortdaten zwar nicht ganz einfach ist, allerdings besäßen Informatik-Studierende ab Bachelorniveau diese Kenntnisse. Denke man einen Schritt weiter, ließe sich mit der entsprechenden kriminellen Energie ein Smartphone-Programm und ein passender Onlinedienst aufbauen, um andere Betrugswillige ohne das notwendige Fachwissen mit diesen Daten auszustatten.
Im Rahmen ihrer Tests haben die Forschenden zwei Lösungsansätze entwickelt, mit denen sich eine Manipulation deutlich schwieriger gestalten würde. Variante eins: Die Standortdaten müssten mit vertrauenswürdigen Standortmeldungen abgeglichen und so verifiziert werden. Variante zwei: eine grundlegende Änderung der Smartphone-Ortung.
Den Wissenschaftlerinnen und Wissenschaftlern ist bewusst, dass der zweite Ansatz die schwierigere Variante ist, da in diesem Fall auch die Akteure involviert werden müssten, welche Smartphone-Komponenten und -Betriebssysteme herstellen. „Bis es so weit ist, bleibt allen, die sich auf die Standortinformationen von Smartphones verlassen müssen, nichts anderes übrig, als diese so gut wie möglich mit einer vertrauenswürdigen Standortdatenquelle zu verifizieren“, erklärt Kaveh Razavi von der ETH. Setzt man auf diese Variante der Forschenden, könnte man sichere Datenquellen hinzuziehen, mit denen sich die Standortdaten vergleichen ließen. Das können zum Beispiel die Daten der Fahrzeuge sein, also der Züge, Busse oder Straßenbahnen, oder auch der Mobilgeräte der Kontrolleure. Die SBB ist über die Tests und die Anfälligkeit ihres Systems informiert, betont aber, dass eine solche Form der Nutzung natürlich strafbar sei. Inzwischen hat das Unternehmen aufgerüstet und ist bei einer Manipulation heute in der Lage, diese im Nachhinein bei der Abrechnung zu erkennen.
Ein Beitrag von:
