Computersicherheit 16.05.2024, 07:00 Uhr

Standortdaten auf Smartphones sind keine sicheren Daten

ETH-Forschende haben herausgefunden, dass Standortdaten auf Smartphones manipulierbar sind. Sie bewiesen das anhand der SBB-APP und fuhren so kostenlos in der Schweiz mit dem Zug. Gleichzeitig stellten sie zwei Lösungsmöglichkeiten für dieses Problem vor.

Blick auf ein Smartphone mit der SBB-App

Die Easyride-​Funktion soll die Nutzung des ÖPNV noch einfacher gestalten. Forschende tricksten das System aus.

Foto: Keystone-SDA

„Es ist ganz grundsätzlich so: Die Standortdaten eines Smartphones sind manipulierbar, und man kann ihnen nicht trauen“, sagt Michele Marazzi, Doktorand in der Forschergruppe um Kaveh Razavi, Professor für Computersicherheit an der ETH Zürich. „App-Entwickler sollten sie daher nicht als vertrauenswürdige Daten behandeln.“ Genau das hat die Forschergruppe mittels eines Experiments jüngst bewiesen. Als Instrument dafür wählten sie die SBB-App. Die Schweizerische Bundesbahnen AG (SBB) stellt in der Schweiz das öffentliche Verkehrsnetz in Form von Zug, Bus und Straßenbahn. Über die App können Fahrgäste ihre Tickets einfach online kaufen.

Cybersicherheit im Blick: Welche Branchen sind besonders gefährdet?

Top Stellenangebote

Zur Jobbörse
Iventa Austria Personalwerbung GmbH-Firmenlogo
Wind and Site Engineer (m/f/d) Iventa Austria Personalwerbung GmbH
Hamburg Zum Job 
SWM Services GmbH-Firmenlogo
Projektingenieur*in für Prozess- und Automatisierungstechnik MSR (m/w/d) SWM Services GmbH
München Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieurin oder Ingenieur Ausstattung/Verkehr (w/m/d) Die Autobahn GmbH des Bundes
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur konstruktiver Ingenieurbau (w/m/d) Die Autobahn GmbH des Bundes
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieurin oder Bauingenieur Verkehrsplanung (w/m/d) Die Autobahn GmbH des Bundes
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieurin oder Ingenieur Landespflege Planung (w/m/d) Abteilung Ersatzbauwerke Die Autobahn GmbH des Bundes
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieurin oder Bauingenieur Bau und Erhaltung Strecke (w/m/d) Die Autobahn GmbH des Bundes
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieur als Außenstellenleiter (w/m/d) Die Autobahn GmbH des Bundes
THOST Projektmanagement GmbH-Firmenlogo
Projektleiter*in / Projektmanager*in (m/w/d) für Bau- und Immobilienprojekte THOST Projektmanagement GmbH
Stuttgart, Pforzheim Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieurin oder Ingenieur Landespflege Planung (w/m/d) Abteilung Umweltmanagement Die Autobahn GmbH des Bundes
battenfeld-cincinnati Germany GmbH-Firmenlogo
Maschinenbaukonstrukteur Werkzeugkonstruktion (m/w/d) battenfeld-cincinnati Germany GmbH
Bad Oeynhausen Zum Job 
Kölner Verkehrs-Betriebe AG-Firmenlogo
Leitung Technisches Gebäudemanagement (m/w/d) Kölner Verkehrs-Betriebe AG
Köln Innenstadt Zum Job 
NORD-MICRO GmbH & Co. OHG-Firmenlogo
Service Ingenieur - Fans (m/w/d) NORD-MICRO GmbH & Co. OHG
Frankfurt am Main Zum Job 
DIgSILENT GmbH-Firmenlogo
Ingenieur Elektrotechnik (w/m/d) Power System Modelling DIgSILENT GmbH
Gomaringen Zum Job 
Salzgitter Flachstahl GmbH-Firmenlogo
Maschinenbau-Ingenieur Krantechnik im Transformationsprojekt SALCOS (w/m/d) Salzgitter Flachstahl GmbH
Salzgitter Zum Job 
Salzgitter Flachstahl GmbH-Firmenlogo
Maschinenbau-Ingenieur Projektmanagement im Transformationsprojekt SALCOS (w/m/d) Salzgitter Flachstahl GmbH
Salzgitter Zum Job 
Steigerwald Strahltechnik GmbH-Firmenlogo
Entwicklungsingenieur für Schweißtechnik (m/w/d) Steigerwald Strahltechnik GmbH
Maisach Zum Job 
Wirtschaftsbetrieb Hagen AöR-Firmenlogo
Planungsingenieur*in Siedlungswasserwirtschaft (w/m/d) Wirtschaftsbetrieb Hagen AöR
Stadtwerke München GmbH-Firmenlogo
Baukoordination Neubauprojekte der Gleisanlagen der Münchner Straßenbahn (m/w/d) Stadtwerke München GmbH
München Zum Job 
Salzgitter Flachstahl GmbH-Firmenlogo
Versorgungstechnik-Ingenieur Projektmanagement im Transformationsprojekt SALCOS (w/m/d) Salzgitter Flachstahl GmbH
Salzgitter Zum Job 

Darüber hinaus bietet die App sogar eine sogenannte Easyride-Funktion. Sie ersetzt das klassische Ticket und funktioniert folgendermaßen: Wer in der Schweiz einen Zug, einen Bus oder eine Straßenbahn betritt, wischt beim Antritt der Fahrt einfach einmal auf dem Smartphone, wenn die SBB-App geöffnet ist. Damit checken die Fahrgäste praktisch ein und ab diesem Zeitpunkt dienen die Standortdaten, welche über das Smartphone gesendet werden, als Berechnungsgrundlage. Beim Verlassen des öffentlichen Verkehrsmittels wischen die Fahrgäste in der App einfach wieder und checken damit aus. Auf Basis der Standortdaten berechnet der SBB-Server dann im Anschluss die Fahrtstrecke und die dafür notwenigen Fahrtkosten.

Mit gefälschten Standortdaten kostenlos Zug fahren

Die Funktion Easyride ist seit 2018 in der gesamten Schweiz im Einsatz. Schon im vergangenen Jahr testeten die Forschenden diese Funktion und konnten sie dabei überlisten. Dafür nahmen sie Veränderungen an den Smartphones vor: Sie überschrieben die echten GPS-Standortdaten mit gefälschten. Diese wirkten aber so realistisch, dass die SBB-App diesen Betrug nicht erkannte. So war es möglich, mit den Daten einen sehr kleinen Bewegungsradius zu erzeugen, der belegte, dass keine öffentlichen Verkehrsmittel benutzt wurden. Gleichzeitig erzeugte die SBB-App aber ein gültiges Ticket. Die Forschenden testeten in ihrem Experiment zwei verschiedene Ansätze: In dem einen Fall gab es ein Programm auf dem Smartphone, das die gefälschten Daten erzeugt. Im zweiten Fall gab es eine Verbindung zwischen Smartphone und einem Server, auf dem die SBB-App lief. Dabei lieferte der Server die getürkten Standortdaten und übermittelte sie anschließend direkt an das Smartphone in Form eines Easyride-QR-Codes.

Die Studierenden testeten dies auf mehren Fahrten von Zürich in die Hauptstadt eines Nachbarkantons. Bei den Kontrollen im Zug fiel der Betrug nicht auf. Auch im Zuge der Abrechnung stellte die SBB keinerlei Ungereimtheiten fest. Die Forschenden nutzen die öffentlichen Verkehrsmittel also umsonst. Sie betonen dabei allerdings, dass sie zu allen Testfahrten immer ein zusätzliches gültiges Ticket dabeihatten.

Zwei Lösungen, um gefälschte Standortdaten zu erkennen

Die Forschenden sind sich darüber einig, dass die Manipulation der Standortdaten zwar nicht ganz einfach ist, allerdings besäßen Informatik-Studierende ab Bachelorniveau diese Kenntnisse. Denke man einen Schritt weiter, ließe sich mit der entsprechenden kriminellen Energie ein Smartphone-Programm und ein passender Onlinedienst aufbauen, um andere Betrugswillige ohne das notwendige Fachwissen mit diesen Daten auszustatten.

Im Rahmen ihrer Tests haben die Forschenden zwei Lösungsansätze entwickelt, mit denen sich eine Manipulation deutlich schwieriger gestalten würde. Variante eins: Die Standortdaten müssten mit vertrauenswürdigen Standortmeldungen abgeglichen und so verifiziert werden. Variante zwei: eine grundlegende Änderung der Smartphone-Ortung.

Den Wissenschaftlerinnen und Wissenschaftlern ist bewusst, dass der zweite Ansatz die schwierigere Variante ist, da in diesem Fall auch die Akteure involviert werden müssten, welche Smartphone-Komponenten und -Betriebssysteme herstellen. „Bis es so weit ist, bleibt allen, die sich auf die Standortinformationen von Smartphones verlassen müssen, nichts anderes übrig, als diese so gut wie möglich mit einer vertrauenswürdigen Standortdatenquelle zu verifizieren“, erklärt Kaveh Razavi von der ETH. Setzt man auf diese Variante der Forschenden, könnte man sichere Datenquellen hinzuziehen, mit denen sich die Standortdaten vergleichen ließen. Das können zum Beispiel die Daten der Fahrzeuge sein, also der Züge, Busse oder Straßenbahnen, oder auch der Mobilgeräte der Kontrolleure. Die SBB ist über die Tests und die Anfälligkeit ihres Systems informiert, betont aber, dass eine solche Form der Nutzung natürlich strafbar sei. Inzwischen hat das Unternehmen aufgerüstet und ist bei einer Manipulation heute in der Lage, diese im Nachhinein bei der Abrechnung zu erkennen.

Ein Beitrag von:

  • Nina Draese

    Nina Draese hat unter anderem für die dpa gearbeitet, die Presseabteilung von BMW, für die Autozeitung und den MAV-Verlag. Sie ist selbstständige Journalistin und gehört zum Team von Content Qualitäten. Ihre Themen: Automobil, Energie, Klima, KI, Technik, Umwelt.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.