Computersicherheit 16.05.2024, 07:00 Uhr

Standortdaten auf Smartphones sind keine sicheren Daten

ETH-Forschende haben herausgefunden, dass Standortdaten auf Smartphones manipulierbar sind. Sie bewiesen das anhand der SBB-APP und fuhren so kostenlos in der Schweiz mit dem Zug. Gleichzeitig stellten sie zwei Lösungsmöglichkeiten für dieses Problem vor.

Blick auf ein Smartphone mit der SBB-App

Die Easyride-​Funktion soll die Nutzung des ÖPNV noch einfacher gestalten. Forschende tricksten das System aus.

Foto: Keystone-SDA

„Es ist ganz grundsätzlich so: Die Standortdaten eines Smartphones sind manipulierbar, und man kann ihnen nicht trauen“, sagt Michele Marazzi, Doktorand in der Forschergruppe um Kaveh Razavi, Professor für Computersicherheit an der ETH Zürich. „App-Entwickler sollten sie daher nicht als vertrauenswürdige Daten behandeln.“ Genau das hat die Forschergruppe mittels eines Experiments jüngst bewiesen. Als Instrument dafür wählten sie die SBB-App. Die Schweizerische Bundesbahnen AG (SBB) stellt in der Schweiz das öffentliche Verkehrsnetz in Form von Zug, Bus und Straßenbahn. Über die App können Fahrgäste ihre Tickets einfach online kaufen.

Cybersicherheit im Blick: Welche Branchen sind besonders gefährdet?

Darüber hinaus bietet die App sogar eine sogenannte Easyride-Funktion. Sie ersetzt das klassische Ticket und funktioniert folgendermaßen: Wer in der Schweiz einen Zug, einen Bus oder eine Straßenbahn betritt, wischt beim Antritt der Fahrt einfach einmal auf dem Smartphone, wenn die SBB-App geöffnet ist. Damit checken die Fahrgäste praktisch ein und ab diesem Zeitpunkt dienen die Standortdaten, welche über das Smartphone gesendet werden, als Berechnungsgrundlage. Beim Verlassen des öffentlichen Verkehrsmittels wischen die Fahrgäste in der App einfach wieder und checken damit aus. Auf Basis der Standortdaten berechnet der SBB-Server dann im Anschluss die Fahrtstrecke und die dafür notwenigen Fahrtkosten.

Mit gefälschten Standortdaten kostenlos Zug fahren

Die Funktion Easyride ist seit 2018 in der gesamten Schweiz im Einsatz. Schon im vergangenen Jahr testeten die Forschenden diese Funktion und konnten sie dabei überlisten. Dafür nahmen sie Veränderungen an den Smartphones vor: Sie überschrieben die echten GPS-Standortdaten mit gefälschten. Diese wirkten aber so realistisch, dass die SBB-App diesen Betrug nicht erkannte. So war es möglich, mit den Daten einen sehr kleinen Bewegungsradius zu erzeugen, der belegte, dass keine öffentlichen Verkehrsmittel benutzt wurden. Gleichzeitig erzeugte die SBB-App aber ein gültiges Ticket. Die Forschenden testeten in ihrem Experiment zwei verschiedene Ansätze: In dem einen Fall gab es ein Programm auf dem Smartphone, das die gefälschten Daten erzeugt. Im zweiten Fall gab es eine Verbindung zwischen Smartphone und einem Server, auf dem die SBB-App lief. Dabei lieferte der Server die getürkten Standortdaten und übermittelte sie anschließend direkt an das Smartphone in Form eines Easyride-QR-Codes.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
IMS Röntgensysteme GmbH-Firmenlogo
Entwicklungsingenieur (m/w/i) für digitale Inspektionssysteme IMS Röntgensysteme GmbH
Heiligenhaus Zum Job 
AVM-Firmenlogo
Entwickler für Hochfrequenztechnik (w/m/d) AVM
Berlin Zum Job 
AVM-Firmenlogo
Team Lead Software Entwicklung Treiberintegration (w/m/d) AVM
Berlin Zum Job 
IMS Messsysteme GmbH-Firmenlogo
Entwicklungsingenieur (m/w/i) Systemsoftware IMS Messsysteme GmbH
Heiligenhaus Zum Job 
Flughafen München GmbH-Firmenlogo
Projektingenieur Sicherheitstechnik Sprachalarmierung (w/m/d) Flughafen München GmbH
München Zum Job 
DFS Deutsche Flugsicherung GmbH-Firmenlogo
Referent (m/w/d) Anforderungsmanagement Funktionale Systeme DFS Deutsche Flugsicherung GmbH
Langen Zum Job 
DNV GL SE-Firmenlogo
(Senior) Consultant for Digital System Operation (m/w/d) DNV GL SE
Dresden, Schönefeld Zum Job 
ESFORIN SE-Firmenlogo
Mitarbeiter*in Marktkommunikation & Prozesse (m/w/d) ESFORIN SE
Essen Zum Job 
über Jauss HR-Consulting GmbH & Co. KG-Firmenlogo
Ingenieur / Techniker (m/w/d) TIA-Programmierung & Inbetriebnahme - Baustoffanlagenbau über Jauss HR-Consulting GmbH & Co. KG
Raum Würzburg Zum Job 
ESA-Firmenlogo
Secure Connectivity System Architecture Engineer (f/m/d) ESA
Noordwijk (Niederlande) Zum Job 
Drägerwerk AG & Co. KGaA-Firmenlogo
Ingenieur / Specialist (m/w/d) Software und Datenkommunikation Drägerwerk AG & Co. KGaA
Lübeck Zum Job 
Sanofi-Aventis Deutschland GmbH-Firmenlogo
Trainee Manufacturing & Supply - all genders Sanofi-Aventis Deutschland GmbH
Frankfurt am Main Zum Job 
Helmholtz-Zentrum Hereon-Firmenlogo
Systementwicklungsingenieurin (m/w/d) für Mess- und Steuerungssystemen Helmholtz-Zentrum Hereon
Geesthacht (bei Hamburg) Zum Job 
Motherson Group-Firmenlogo
Hardware Architect - Automotive (m/f/d) Motherson Group
Stuttgart Zum Job 
FRIWO-Firmenlogo
Senior Softwareentwickler Embedded Systems / C/C++ (m/w/d) FRIWO
Ostbevern Zum Job 
FRIWO-Firmenlogo
Hardware Entwickler (m/w/d) FRIWO
Ostbevern Zum Job 
Hochschule Angewandte Wissenschaften München-Firmenlogo
Professur für Data und Knowledge Engineering (W2) Hochschule Angewandte Wissenschaften München
München Zum Job 
B. Braun Melsungen AG-Firmenlogo
Senior Expert (w/m/d) Manufacturing Digitalization B. Braun Melsungen AG
Melsungen Zum Job 
Heuft Systemtechnik GmbH-Firmenlogo
Projektingenieur - Schwerpunkt Automatisierung, IT und Netzwerkinfrastruktur (m/w/d) Heuft Systemtechnik GmbH
Burgbrohl Zum Job 

Die Studierenden testeten dies auf mehren Fahrten von Zürich in die Hauptstadt eines Nachbarkantons. Bei den Kontrollen im Zug fiel der Betrug nicht auf. Auch im Zuge der Abrechnung stellte die SBB keinerlei Ungereimtheiten fest. Die Forschenden nutzen die öffentlichen Verkehrsmittel also umsonst. Sie betonen dabei allerdings, dass sie zu allen Testfahrten immer ein zusätzliches gültiges Ticket dabeihatten.

Zwei Lösungen, um gefälschte Standortdaten zu erkennen

Die Forschenden sind sich darüber einig, dass die Manipulation der Standortdaten zwar nicht ganz einfach ist, allerdings besäßen Informatik-Studierende ab Bachelorniveau diese Kenntnisse. Denke man einen Schritt weiter, ließe sich mit der entsprechenden kriminellen Energie ein Smartphone-Programm und ein passender Onlinedienst aufbauen, um andere Betrugswillige ohne das notwendige Fachwissen mit diesen Daten auszustatten.

Im Rahmen ihrer Tests haben die Forschenden zwei Lösungsansätze entwickelt, mit denen sich eine Manipulation deutlich schwieriger gestalten würde. Variante eins: Die Standortdaten müssten mit vertrauenswürdigen Standortmeldungen abgeglichen und so verifiziert werden. Variante zwei: eine grundlegende Änderung der Smartphone-Ortung.

Den Wissenschaftlerinnen und Wissenschaftlern ist bewusst, dass der zweite Ansatz die schwierigere Variante ist, da in diesem Fall auch die Akteure involviert werden müssten, welche Smartphone-Komponenten und -Betriebssysteme herstellen. „Bis es so weit ist, bleibt allen, die sich auf die Standortinformationen von Smartphones verlassen müssen, nichts anderes übrig, als diese so gut wie möglich mit einer vertrauenswürdigen Standortdatenquelle zu verifizieren“, erklärt Kaveh Razavi von der ETH. Setzt man auf diese Variante der Forschenden, könnte man sichere Datenquellen hinzuziehen, mit denen sich die Standortdaten vergleichen ließen. Das können zum Beispiel die Daten der Fahrzeuge sein, also der Züge, Busse oder Straßenbahnen, oder auch der Mobilgeräte der Kontrolleure. Die SBB ist über die Tests und die Anfälligkeit ihres Systems informiert, betont aber, dass eine solche Form der Nutzung natürlich strafbar sei. Inzwischen hat das Unternehmen aufgerüstet und ist bei einer Manipulation heute in der Lage, diese im Nachhinein bei der Abrechnung zu erkennen.

Ein Beitrag von:

  • Nina Draese

    Nina Draese hat unter anderem für die dpa gearbeitet, die Presseabteilung von BMW, für die Autozeitung und den MAV-Verlag. Sie ist selbstständige Journalistin und gehört zum Team von Content Qualitäten. Ihre Themen: Automobil, Energie, Klima, KI, Technik, Umwelt.

Themen im Artikel

Empfehlung der Redaktion

Projektmanagement
Projektmanagement

Die 11 besten Projektmanagement-Tools
Stromkabel an B des Bitcoin
Kryptowährung

Bitcoin: Wie umweltschädlich ist die Kryptowährung wirklich?
Messenger-Dienst

WhatsApp-Tricks, die Sie noch nicht kannten
Bildbearbeitung

Photoshop und Lightroom: Diese Alternativen sollten Sie sich anschauen
Luftbildaufnahme von Tokio
Ranking

Die 10 größten Städte der Welt
Messe

Hannover Messe Special

Ähnliche Artikel

Tastatur mit post-it Passwort
Eigene Daten schützen

Die beliebtesten Passwörter 2022 sind keine guten Beispiele
Tastatur mit Hinweis Passwort ändern
Lang und abwechslungsreich

Passwort ändern: Diesen wichtigen Unterschied kennt kaum jemand
Eine Gamerin tippt aus einer Tastatur und hält eine Kreditkarte in der anderen Hand.
Gaming

Game Over für Sicherheitslücken? Studie zur IT-Sicherheit bei Videospielen
Videokamera
TÜV warnt vor Hackerattacken

Smarte Videoüberwachung fürs Haus mit Sicherheitslücken

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos