Computersicherheit 16.05.2024, 07:00 Uhr

Standortdaten auf Smartphones sind keine sicheren Daten

ETH-Forschende haben herausgefunden, dass Standortdaten auf Smartphones manipulierbar sind. Sie bewiesen das anhand der SBB-APP und fuhren so kostenlos in der Schweiz mit dem Zug. Gleichzeitig stellten sie zwei Lösungsmöglichkeiten für dieses Problem vor.

Blick auf ein Smartphone mit der SBB-App

Die Easyride-​Funktion soll die Nutzung des ÖPNV noch einfacher gestalten. Forschende tricksten das System aus.

Foto: Keystone-SDA

„Es ist ganz grundsätzlich so: Die Standortdaten eines Smartphones sind manipulierbar, und man kann ihnen nicht trauen“, sagt Michele Marazzi, Doktorand in der Forschergruppe um Kaveh Razavi, Professor für Computersicherheit an der ETH Zürich. „App-Entwickler sollten sie daher nicht als vertrauenswürdige Daten behandeln.“ Genau das hat die Forschergruppe mittels eines Experiments jüngst bewiesen. Als Instrument dafür wählten sie die SBB-App. Die Schweizerische Bundesbahnen AG (SBB) stellt in der Schweiz das öffentliche Verkehrsnetz in Form von Zug, Bus und Straßenbahn. Über die App können Fahrgäste ihre Tickets einfach online kaufen.

Cybersicherheit im Blick: Welche Branchen sind besonders gefährdet?

Darüber hinaus bietet die App sogar eine sogenannte Easyride-Funktion. Sie ersetzt das klassische Ticket und funktioniert folgendermaßen: Wer in der Schweiz einen Zug, einen Bus oder eine Straßenbahn betritt, wischt beim Antritt der Fahrt einfach einmal auf dem Smartphone, wenn die SBB-App geöffnet ist. Damit checken die Fahrgäste praktisch ein und ab diesem Zeitpunkt dienen die Standortdaten, welche über das Smartphone gesendet werden, als Berechnungsgrundlage. Beim Verlassen des öffentlichen Verkehrsmittels wischen die Fahrgäste in der App einfach wieder und checken damit aus. Auf Basis der Standortdaten berechnet der SBB-Server dann im Anschluss die Fahrtstrecke und die dafür notwenigen Fahrtkosten.

Mit gefälschten Standortdaten kostenlos Zug fahren

Die Funktion Easyride ist seit 2018 in der gesamten Schweiz im Einsatz. Schon im vergangenen Jahr testeten die Forschenden diese Funktion und konnten sie dabei überlisten. Dafür nahmen sie Veränderungen an den Smartphones vor: Sie überschrieben die echten GPS-Standortdaten mit gefälschten. Diese wirkten aber so realistisch, dass die SBB-App diesen Betrug nicht erkannte. So war es möglich, mit den Daten einen sehr kleinen Bewegungsradius zu erzeugen, der belegte, dass keine öffentlichen Verkehrsmittel benutzt wurden. Gleichzeitig erzeugte die SBB-App aber ein gültiges Ticket. Die Forschenden testeten in ihrem Experiment zwei verschiedene Ansätze: In dem einen Fall gab es ein Programm auf dem Smartphone, das die gefälschten Daten erzeugt. Im zweiten Fall gab es eine Verbindung zwischen Smartphone und einem Server, auf dem die SBB-App lief. Dabei lieferte der Server die getürkten Standortdaten und übermittelte sie anschließend direkt an das Smartphone in Form eines Easyride-QR-Codes.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
Hochschule für Technik und Wirtschaft Berlin-Firmenlogo
Professor (W2) | Permanent Computer Architecture and Computer Systems Hochschule für Technik und Wirtschaft Berlin
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur Vermessung (m/w/d) Die Autobahn GmbH des Bundes
Montabaur Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Lösungsentwickler (w/m/d) im Digitallabor Geoinformatik Die Autobahn GmbH des Bundes
Niedersachsen.next GmbH-Firmenlogo
Themenmanager Mobilität und Digitalisierung | Mobilitätskonzepte (m/w/d) Niedersachsen.next GmbH
Hannover Zum Job 
Frankfurt University of Applied Sciences-Firmenlogo
Professur "Vernetzte Eingebettete Systeme" (w/m/d) Frankfurt University of Applied Sciences
Frankfurt am Main Zum Job 
Energie und Wasser Potsdam GmbH-Firmenlogo
Geoinformatiker (m/w/d) / Vermessungsingenieur (m/w/d) als Projektleiter (m/w/d) GIS - Fachanwendungen Energie und Wasser Potsdam GmbH
Potsdam Zum Job 
Frankfurt University of Applied Sciences-Firmenlogo
Professur "Software Engineering - Moderne Verfahren" (w/m/d) Frankfurt University of Applied Sciences
Frankfurt am Main Zum Job 
Niedersächsische Landesbehörde für Straßenbau und Verkehr-Firmenlogo
BIM-Manager (m/w/d) für Bauprojekte Niedersächsische Landesbehörde für Straßenbau und Verkehr
Hannover Zum Job 
NORDEX GROUP-Firmenlogo
SCADA Projektingenieur (m/w/d) NORDEX GROUP
Hamburg, Rostock Zum Job 
FlowChief GmbH-Firmenlogo
Techniker:in Automatisierung (SCADA) (m/w/d) FlowChief GmbH
Wendelstein Zum Job 
Wirtgen GmbH-Firmenlogo
Software-Ingenieur (m/w/d) Elektrotechnik im Bereich Steuerungssoftware für mobile Arbeitsmaschinen Wirtgen GmbH
Windhagen Zum Job 
Hochschule Osnabrück-Firmenlogo
Tandem-Professur Robotik, Data Science and AI, Digitalisierte Wertschöpfungsprozesse Hochschule Osnabrück
Osnabrück, Lingen Zum Job 
Tagueri AG-Firmenlogo
Consultant OTA - Connected Cars (m/w/d)* Tagueri AG
Stuttgart Zum Job 
Hochschule für Technik und Wirtschaft Berlin-Firmenlogo
Professur (W2) | auf Lebenszeit Fachgebiet Rechnerarchitekturen und Rechnersysteme Hochschule für Technik und Wirtschaft Berlin
B. Braun Melsungen AG-Firmenlogo
Global Lead (w/m/d) Operational Technology (OT) B. Braun Melsungen AG
Melsungen Zum Job 
WIRTGEN GmbH-Firmenlogo
Duales Studium Software Engineering - Bachelor of Engineering (m/w/d) WIRTGEN GmbH
Windhagen, Remagen Zum Job 
VIAVI-Firmenlogo
Senior / Software Engineer (C++, Python & Cloud) (m/w/d) VIAVI
Eningen Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Teamleitung (w/m/d) BIM-Management Die Autobahn GmbH des Bundes
CS CLEAN SOLUTIONS GmbH-Firmenlogo
Mitarbeiter für die Steuerungstechnik Software (m/w/d) CS CLEAN SOLUTIONS GmbH
Ismaning bei München Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 

Die Studierenden testeten dies auf mehren Fahrten von Zürich in die Hauptstadt eines Nachbarkantons. Bei den Kontrollen im Zug fiel der Betrug nicht auf. Auch im Zuge der Abrechnung stellte die SBB keinerlei Ungereimtheiten fest. Die Forschenden nutzen die öffentlichen Verkehrsmittel also umsonst. Sie betonen dabei allerdings, dass sie zu allen Testfahrten immer ein zusätzliches gültiges Ticket dabeihatten.

Zwei Lösungen, um gefälschte Standortdaten zu erkennen

Die Forschenden sind sich darüber einig, dass die Manipulation der Standortdaten zwar nicht ganz einfach ist, allerdings besäßen Informatik-Studierende ab Bachelorniveau diese Kenntnisse. Denke man einen Schritt weiter, ließe sich mit der entsprechenden kriminellen Energie ein Smartphone-Programm und ein passender Onlinedienst aufbauen, um andere Betrugswillige ohne das notwendige Fachwissen mit diesen Daten auszustatten.

Im Rahmen ihrer Tests haben die Forschenden zwei Lösungsansätze entwickelt, mit denen sich eine Manipulation deutlich schwieriger gestalten würde. Variante eins: Die Standortdaten müssten mit vertrauenswürdigen Standortmeldungen abgeglichen und so verifiziert werden. Variante zwei: eine grundlegende Änderung der Smartphone-Ortung.

Den Wissenschaftlerinnen und Wissenschaftlern ist bewusst, dass der zweite Ansatz die schwierigere Variante ist, da in diesem Fall auch die Akteure involviert werden müssten, welche Smartphone-Komponenten und -Betriebssysteme herstellen. „Bis es so weit ist, bleibt allen, die sich auf die Standortinformationen von Smartphones verlassen müssen, nichts anderes übrig, als diese so gut wie möglich mit einer vertrauenswürdigen Standortdatenquelle zu verifizieren“, erklärt Kaveh Razavi von der ETH. Setzt man auf diese Variante der Forschenden, könnte man sichere Datenquellen hinzuziehen, mit denen sich die Standortdaten vergleichen ließen. Das können zum Beispiel die Daten der Fahrzeuge sein, also der Züge, Busse oder Straßenbahnen, oder auch der Mobilgeräte der Kontrolleure. Die SBB ist über die Tests und die Anfälligkeit ihres Systems informiert, betont aber, dass eine solche Form der Nutzung natürlich strafbar sei. Inzwischen hat das Unternehmen aufgerüstet und ist bei einer Manipulation heute in der Lage, diese im Nachhinein bei der Abrechnung zu erkennen.

Ein Beitrag von:

  • Nina Draese

    Nina Draese hat unter anderem für die dpa gearbeitet, die Presseabteilung von BMW, für die Autozeitung und den MAV-Verlag. Sie ist selbstständige Journalistin und gehört zum Team von Content Qualitäten. Ihre Themen: Automobil, Energie, Klima, KI, Technik, Umwelt.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.