Computersicherheit 16.05.2024, 07:00 Uhr

Standortdaten auf Smartphones sind keine sicheren Daten

ETH-Forschende haben herausgefunden, dass Standortdaten auf Smartphones manipulierbar sind. Sie bewiesen das anhand der SBB-APP und fuhren so kostenlos in der Schweiz mit dem Zug. Gleichzeitig stellten sie zwei Lösungsmöglichkeiten für dieses Problem vor.

Blick auf ein Smartphone mit der SBB-App

Die Easyride-​Funktion soll die Nutzung des ÖPNV noch einfacher gestalten. Forschende tricksten das System aus.

Foto: Keystone-SDA

„Es ist ganz grundsätzlich so: Die Standortdaten eines Smartphones sind manipulierbar, und man kann ihnen nicht trauen“, sagt Michele Marazzi, Doktorand in der Forschergruppe um Kaveh Razavi, Professor für Computersicherheit an der ETH Zürich. „App-Entwickler sollten sie daher nicht als vertrauenswürdige Daten behandeln.“ Genau das hat die Forschergruppe mittels eines Experiments jüngst bewiesen. Als Instrument dafür wählten sie die SBB-App. Die Schweizerische Bundesbahnen AG (SBB) stellt in der Schweiz das öffentliche Verkehrsnetz in Form von Zug, Bus und Straßenbahn. Über die App können Fahrgäste ihre Tickets einfach online kaufen.

Cybersicherheit im Blick: Welche Branchen sind besonders gefährdet?

Top Stellenangebote

Zur Jobbörse
Stuttgarter Straßenbahnen AG-Firmenlogo
Architekt:in / Bauingenieur:in - Planung Stadtbahnhaltestellen Stuttgarter Straßenbahnen AG
Stuttgart Zum Job 
NORD-MICRO GmbH & Co. OHG-Firmenlogo
Ingenieur / Techniker als Programm Manager Luftfahrt (m/w/d) NORD-MICRO GmbH & Co. OHG
Frankfurt am Main Zum Job 
Max-Planck-Institut für Psychiatrie-Firmenlogo
Stellvertretende/r Technische/r Betriebsleiter/in (m/w/d) Max-Planck-Institut für Psychiatrie
München Zum Job 
Nitto Advanced Film Gronau GmbH-Firmenlogo
Projektingenieur (m/w/d) Kunststofftechnik / Verfahrenstechnik Nitto Advanced Film Gronau GmbH
BUTTING-Firmenlogo
Teamleiter Tragkorbfertigung (m/w/d) BUTTING
Knesebeck, Wittingen Zum Job 
THOST Projektmanagement GmbH-Firmenlogo
Architekt*in / Ingenieur*in (m/w/d) Bereich Bauprojektmanagement THOST Projektmanagement GmbH
Karlsruhe Zum Job 
THOST Projektmanagement GmbH-Firmenlogo
Projektleiter*in / Projektmanager*in (m/w/d) für Bau- und Immobilienprojekte THOST Projektmanagement GmbH
Stuttgart, Pforzheim Zum Job 
Jungheinrich-Firmenlogo
(Senior) Process Engineer Quality (m/w/d) Jungheinrich
Norderstedt Zum Job 
Hochschule Heilbronn-Firmenlogo
Professur für das Fachgebiet Wirtschaftsingenieurwesen insb. Digitalisierung Hochschule Heilbronn
Heilbronn Zum Job 
Zweckverband Stadtbahn im Landkreis Ludwigsburg-Firmenlogo
Fachexperte (m/w/d) Umwelt- und Landschaftsplanung Zweckverband Stadtbahn im Landkreis Ludwigsburg
Ludwigsburg Zum Job 
Zweckverband Stadtbahn im Landkreis Ludwigsburg-Firmenlogo
Ingenieur (m/w/d) Schwerpunkt Verkehrsanlagen (Schiene und Straße) Zweckverband Stadtbahn im Landkreis Ludwigsburg
Ludwigsburg Zum Job 
THOST Projektmanagement GmbH-Firmenlogo
Ingenieur*in in der Projektleitung von Projekten im Bereich Automotive | Industrie (m/w/d) THOST Projektmanagement GmbH
München Zum Job 
Gemeinde Teutschenthal-Firmenlogo
Sachbearbeiter/Sachbearbeiterin Tiefbau (m/w/d) Gemeinde Teutschenthal
Teutschenthal Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Projektleiter (w/m/d) Straßenbau in Donaueschingen Die Autobahn GmbH des Bundes
Freiburg im Breisgau, Donaueschingen Zum Job 
Siegfried PharmaChemikalien Minden GmbH-Firmenlogo
Expert*in Computersystemvalidierung (CSV) Siegfried PharmaChemikalien Minden GmbH
Deutsches Zentrum für Luft- und Raumfahrt e. V.-Firmenlogo
Versorgungsingenieur/in oder Elektroingenieur/in (w/m/d) Projektsteuerung von Baumaßnahmen als Baumanager/in in der Bauherrenfunktion Deutsches Zentrum für Luft- und Raumfahrt e. V.
Stadt Bochum-Firmenlogo
Ingenieurin / Ingenieur (w/m/d) der Fachrichtung Elektrotechnik Stadt Bochum
Stadt Bochum-Firmenlogo
Ingenieurin / Ingenieur (w/m/d) der Fachrichtung Versorgungstechnik bzw. Gebäude- und Energietechnik oder Technische Gebäudeausrüstung Stadt Bochum
Dräger Safety AG & Co. KGaA-Firmenlogo
Vertriebsingenieur / Vertriebsmitarbeiter Gasmesstechnik / Sicherheitstechnik (m/w/d) Dräger Safety AG & Co. KGaA
Düsseldorf, Leverkusen, Köln Zum Job 
Menlo Systems GmbH-Firmenlogo
Development Engineer (m/f/d) for photonic integrated circuitry (PIC) Testing & Packaging Menlo Systems GmbH
Planegg Zum Job 

Darüber hinaus bietet die App sogar eine sogenannte Easyride-Funktion. Sie ersetzt das klassische Ticket und funktioniert folgendermaßen: Wer in der Schweiz einen Zug, einen Bus oder eine Straßenbahn betritt, wischt beim Antritt der Fahrt einfach einmal auf dem Smartphone, wenn die SBB-App geöffnet ist. Damit checken die Fahrgäste praktisch ein und ab diesem Zeitpunkt dienen die Standortdaten, welche über das Smartphone gesendet werden, als Berechnungsgrundlage. Beim Verlassen des öffentlichen Verkehrsmittels wischen die Fahrgäste in der App einfach wieder und checken damit aus. Auf Basis der Standortdaten berechnet der SBB-Server dann im Anschluss die Fahrtstrecke und die dafür notwenigen Fahrtkosten.

Mit gefälschten Standortdaten kostenlos Zug fahren

Die Funktion Easyride ist seit 2018 in der gesamten Schweiz im Einsatz. Schon im vergangenen Jahr testeten die Forschenden diese Funktion und konnten sie dabei überlisten. Dafür nahmen sie Veränderungen an den Smartphones vor: Sie überschrieben die echten GPS-Standortdaten mit gefälschten. Diese wirkten aber so realistisch, dass die SBB-App diesen Betrug nicht erkannte. So war es möglich, mit den Daten einen sehr kleinen Bewegungsradius zu erzeugen, der belegte, dass keine öffentlichen Verkehrsmittel benutzt wurden. Gleichzeitig erzeugte die SBB-App aber ein gültiges Ticket. Die Forschenden testeten in ihrem Experiment zwei verschiedene Ansätze: In dem einen Fall gab es ein Programm auf dem Smartphone, das die gefälschten Daten erzeugt. Im zweiten Fall gab es eine Verbindung zwischen Smartphone und einem Server, auf dem die SBB-App lief. Dabei lieferte der Server die getürkten Standortdaten und übermittelte sie anschließend direkt an das Smartphone in Form eines Easyride-QR-Codes.

Die Studierenden testeten dies auf mehren Fahrten von Zürich in die Hauptstadt eines Nachbarkantons. Bei den Kontrollen im Zug fiel der Betrug nicht auf. Auch im Zuge der Abrechnung stellte die SBB keinerlei Ungereimtheiten fest. Die Forschenden nutzen die öffentlichen Verkehrsmittel also umsonst. Sie betonen dabei allerdings, dass sie zu allen Testfahrten immer ein zusätzliches gültiges Ticket dabeihatten.

Zwei Lösungen, um gefälschte Standortdaten zu erkennen

Die Forschenden sind sich darüber einig, dass die Manipulation der Standortdaten zwar nicht ganz einfach ist, allerdings besäßen Informatik-Studierende ab Bachelorniveau diese Kenntnisse. Denke man einen Schritt weiter, ließe sich mit der entsprechenden kriminellen Energie ein Smartphone-Programm und ein passender Onlinedienst aufbauen, um andere Betrugswillige ohne das notwendige Fachwissen mit diesen Daten auszustatten.

Im Rahmen ihrer Tests haben die Forschenden zwei Lösungsansätze entwickelt, mit denen sich eine Manipulation deutlich schwieriger gestalten würde. Variante eins: Die Standortdaten müssten mit vertrauenswürdigen Standortmeldungen abgeglichen und so verifiziert werden. Variante zwei: eine grundlegende Änderung der Smartphone-Ortung.

Den Wissenschaftlerinnen und Wissenschaftlern ist bewusst, dass der zweite Ansatz die schwierigere Variante ist, da in diesem Fall auch die Akteure involviert werden müssten, welche Smartphone-Komponenten und -Betriebssysteme herstellen. „Bis es so weit ist, bleibt allen, die sich auf die Standortinformationen von Smartphones verlassen müssen, nichts anderes übrig, als diese so gut wie möglich mit einer vertrauenswürdigen Standortdatenquelle zu verifizieren“, erklärt Kaveh Razavi von der ETH. Setzt man auf diese Variante der Forschenden, könnte man sichere Datenquellen hinzuziehen, mit denen sich die Standortdaten vergleichen ließen. Das können zum Beispiel die Daten der Fahrzeuge sein, also der Züge, Busse oder Straßenbahnen, oder auch der Mobilgeräte der Kontrolleure. Die SBB ist über die Tests und die Anfälligkeit ihres Systems informiert, betont aber, dass eine solche Form der Nutzung natürlich strafbar sei. Inzwischen hat das Unternehmen aufgerüstet und ist bei einer Manipulation heute in der Lage, diese im Nachhinein bei der Abrechnung zu erkennen.

Ein Beitrag von:

  • Nina Draese

    Nina Draese hat unter anderem für die dpa gearbeitet, die Presseabteilung von BMW, für die Autozeitung und den MAV-Verlag. Sie ist selbstständige Journalistin und gehört zum Team von Content Qualitäten. Ihre Themen: Automobil, Energie, Klima, KI, Technik, Umwelt.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.