In der SBB-App findet sich offenbar eine Lücke, dank der es grundsätzlich möglich ist, die Easyride-Funktion auszutricksen. Easyride erlaubt das Ein- und Auschecken bei der Zugreise via Swipe-Schalter in der SBB-App. Die zurückgelegte Strecke wird durch das GPS-Signal des Geräts erfasst. Forschenden der
ETH gelang es laut Medienmitteilung, das GPS-Signal so zu verfälschen, dass es den Anschein machte, dass sich der Kunde kaum bewegt. Und damit registrierte die SBB-App auch keine verrechenbare Strecke.
Das Ganze klappte sogar mit zwei unterschiedlichen Vorgehensweisen, wie die ETH weiter schreibt: Einmal wurden die gefälschten Standortdaten direkt auf dem Smartphone erzeugt, beim zweiten Ansatz war das Smartphone mit einem Server verbunden, auf dem die SBB-App lief und der falschen GPS-Signale ans Smartphone schickte. Bei Tests merkten die Billet-Kontrolleure in den Tests nichts, auch wurde der Betrug im Nachhinein nicht geahndet (die Forschenden betonen, stets auch ein zweites, gültiges Ticket gekauft zu haben).
Der Fehler wurde der
SBB gemeldet. Laut den Bundesbahnen habe man entsprechende Massnahmen getroffen und würde einen solchen Versuch nun bemerken – spätestens im Nachhinein – und reagieren können. Man habe nach den Hinweisen des ETH-Forscherteams die Überprüfung der an den Server übermittelten Standortdaten verbessert, wie es heisst. Selbstverständlich ist die Nutzung des Tricks strafbar und wird laut SBB zur Anzeige gebracht.
Das Fazit ist, so die Forschenden, dass man Standortdaten auf Smartphones nicht vertrauen dürfe, was vor allem App-Entwicklern bewusst sein müsse, wenn sie GPS-Funktionen in ihre Applikationen einbauen. Denkbar wäre nämlich nicht nur die Manipulation der Standortdaten durch technisch versierte Nutzer, es wäre wohl auch möglich, die Versorgung mit gefälschten Standortdaten als Service zu verkaufen. Zur Lösung schreiben die Forschenden: "Entweder müssen die Standortdaten mit vertrauenswürdigen Standortmeldungen verifiziert werden, oder die Smartphone-Ortung muss grundlegend verändert werden, damit eine Manipulation sehr viel schwieriger wird." Für den zweiten Ansatz müssten aber Hardware-Hersteller und OS-Entwickler für die Entwicklung einer manipulationssicheren Ortung zusammenarbeiten, was auf kurze Sicht wohl eher unrealistisch ist. "Bis es so weit ist, bleibt allen, die sich auf die Standortinformationen von Smartphones verlassen müssen, nichts anderes übrig, als diese sie so gut wie möglich mit einer vertrauenswürdigen Standortdatenquelle zu verifizieren", kommentiert Kaveh Razavi, Professor für Computersicherheit an der
ETH Zürich.
(win)
