Forschende überlisten Easyride-Funktion der SBB
Experimente von Computersicherheitsforschenden der ETH Z¨¹rich haben gezeigt: Smartphones lassen sich manipulieren, um damit in der Schweiz kostenlos Zug zu fahren. Die Wissenschaftler pr?sentieren auch Wege, um solchen Missbrauch einzud?mmen.
In K¨¹rze
- Wer ¨¹ber das n?tige Wissen verf¨¹gt, kann die Standortinformationen des eigenen Smartphones manipulieren.
- ETH-Forschenden gelang es auf diese Weise, die SBB-App zu t?uschen. Sie zeigten: Es w?re so m?glich, gratis Zug zu fahren.
- Die Forschenden haben die SBB informiert. Diese haben nach eigenen Angaben inzwischen Massnahmen ergriffen. Heute w¨¹rde ein solcher Betrug zumindest im Nachhinein auffallen und geahndet werden.
Mit der Easyride-Funktion in der SBB-App ist das Reisen mit Bahn, Bus und Tram ganz einfach: Statt ein klassisches Billett zu l?sen, starten die Nutzerinnen und Nutzer ihre Fahrt mit einem Wisch auf dem Smartphone. Am Ende der Fahrt wischen sie wieder zur¨¹ck und checken damit aus. Als Fahrausweis dient ihnen ein QR-Code, der auf dem Smartphone angezeigt wird. Er best?tigt einem Billettkontrolleur, dass die Easyride-Funktion aktiviert ist. W?hrend der Fahrt sendet die App laufend Standortdaten an einen SBB-Server. Der Server berechnet daraus die zur¨¹ckgelegte Strecke, und die SBB stellt dem Nutzer anschliessend die Fahrtkosten in Rechnung.
Easyride ist seit 2018 in der ganzen Schweiz im Einsatz. Im vergangenen Jahr gelang es ETH-Forschenden jedoch, das System auszutricksen. Die Easyride-Funktion verl?sst sich auf die Standortdaten des Smartphones. Nutzerinnen und Nutzer mit Fachwissen k?nnen diese Daten aber manipulieren. Laut den SBB w¨¹rde ein solcher Betrug heute erkannt.
Kontrolleure bemerkten nichts
Vor einem Jahr war das noch anders: Forschende und Studierende aus der Gruppe von Kaveh Razavi, Professor f¨¹r Computersicherheit an der ETH Z¨¹rich, vermuteten damals, dass sich die Easyride-Funktion ¨¹berlisten l?sst, und stellten sie auf die Probe. Sie ver?nderten ein Smartphone so, dass deren GPS-Standortdaten ¨C auf die die SBB-App zugreift ¨C mit gef?lschten, aber realistisch wirkenden Standortinformationen ¨¹berschrieben wurden. Diese Daten t?uschten vor, der Nutzer bewege sich ausschliesslich auf engem Raum in einer Stadt, ohne ein ?ffentliches Verkehrsmittel zu benutzen.
Die Forschenden verwendeten zwei Ans?tze: In einem Fall erzeugte ein Programm die gef?lschten Standortdaten direkt auf dem Smartphone. Im anderen Fall war das Smartphone mit einem Server verbunden, auf dem die SBB-App lief. Dieser Server generierte die gef?lschten Standortdaten und ¨¹bermittelte den Easyride-QR-Code an das Smartphone.
?Die Standortdaten eines Smartphones sind manipulierbar, und man kann ihnen nicht trauen.?Michele Marazzi
Die ETH-Forschenden testeten das von ihnen pr?parierte Smartphone auf mehreren Zugfahrten von Z¨¹rich in die Hauptstadt eines Nachbarkantons. Weder bei den Billettkontrollen im Zug fiel der Betrug auf, noch wurden die tricksenden Nutzer im Nachhinein von den SBB kontaktiert. Stattdessen berechneten die SBB die Kosten der vorget?uschten kleinr?umigen Bewegungen, f¨¹r die kein ?ffentliches Verkehrsmittel benutzt wurde. Das heisst, die Forschenden konnten mit Easyride kostenlos reisen. Sie betonen, dass sie bei allen Tests immer zus?tzlich ein g¨¹ltiges Billett dabei hatten. Dem Billettkontrolleur zeigten sie jedoch den Easyride-QR-Code.
Standortdaten nicht vertrauensw¨¹rdig
Zwar braucht es Fachwissen, um das eigene Smartphone zu manipulieren. Das sei aber Wissen, ¨¹ber das Informatik-Studentinnen und -Studenten bereits ab Bachelorstufe verf¨¹gten, sagt Razavi. Mit entsprechender krimineller Energie w?re es sogar m?glich, ein Smartphone-Programm und einen Onlinedienst anzubieten, um auch Betrugswillige ohne Informatikkenntnisse mit gef?lschten, aber plausibel erscheinenden Standortdaten zu versorgen.
?Es ist ganz grunds?tzlich so: Die Standortdaten eines Smartphones sind manipulierbar, und man kann ihnen nicht trauen?, sagt Michele Marazzi, Doktorand in Razavis Gruppe. ?App-Entwickler sollten sie daher nicht als vertrauensw¨¹rdige Daten behandeln. Darauf wollten wir mit unserer Arbeit aufmerksam machen.? Wenn die Standortdaten wie in der SBB-App verwendet werden, um eine Leistung zu berechnen und zu fakturieren, m¨¹sse das besser ber¨¹cksichtigt werden.
Abgleich mit vertrauensw¨¹rdigen Daten
Zur L?sung des Problems schlagen die Forschenden zwei Ans?tze vor: Entweder m¨¹ssen die Standortdaten mit vertrauensw¨¹rdigen Standortmeldungen verifiziert werden, oder die Smartphone-Ortung muss grundlegend ver?ndert werden, damit eine Manipulation sehr viel schwieriger wird. Beim ersten Ansatz w?re es zum Beispiel m?glich, die vom Smartphone eines Nutzers ¨¹bermittelten Informationen mit Standortdaten zu vergleichen, denen ein Transportunternehmen traut, zum Beispiel mit denen des Fahrzeugs oder des Mobilger?ts eines Kontrolleurs.
Der zweite Ansatz ist schwieriger. Dazu m¨¹sste man die Entwickler von Smartphone-Hardware und -Betriebssystemen an einen Tisch bringen, und sie davon ¨¹berzeugen, eine neuartige manipulationssichere Ortungstechnologie zu entwickeln. ?Bis es so weit ist, bleibt allen, die sich auf die Standortinformationen von Smartphones verlassen m¨¹ssen, nichts anderes ¨¹brig, als diese sie so gut wie m?glich mit einer vertrauensw¨¹rdigen Standortdatenquelle zu verifizieren?, sagt ETH-Professor Razavi.
Die ETH-Forschenden informierten die SBB ¨¹ber die Schwachstelle in der Easyride-Funktion und standen w?hrend des letzten Jahres mit deren Fachleuten in Kontakt. Dabei pr?sentierten sie ihnen auch die L?sungen, mit denen die Sicherheit der Funktion erh?ht werden kann.
Die SBB legen Wert auf die Feststellung, dass es strafbar ist, die Easyride-Funktion mit manipulierten Standortdaten zu benutzen. Nach eigenen Angaben haben die SBB nach den Hinweisen des ETH-Forscherteams die ?berpr¨¹fung der an den Server ¨¹bermittelten Standortdaten verbessert. Manipulationen werden heute laut den SBB im Nachhinein erkannt und zur Anzeige gebracht. Wie die ?berpr¨¹fung genau erfolgt, geben die SBB aus Sicherheitsgr¨¹nden nicht bekannt.