Easyride-Funktion
App überlistet – dann fahren sie gratis mit den Öffis
Ein Team der ETH Zürich hat die Easyride-Funktion der SBB überlistet. Sie manipulierten Smartphones so, dass die App falsche Standortdaten erhielt.
Mit der Easyride-Funktion in der SBB-App ist das Reisen mit Bahn, Bus und Straßenbahn ganz einfach: Statt ein klassisches Ticket zu lösen, startet die Fahrt mit einem Wisch auf dem Smartphone. Am Ziel angekommen, checkt man mit einem weiteren Wisch aus und beendet die Fahrt. Als Fahrausweis dient ein QR-Code, der auf dem Smartphone angezeigt wird. Seit 2018 ist das in der Schweiz möglich.
Bis vor einem Jahr war es aber auch möglich, das System zu überlisten und kostenlos Öffis zu fahren, wie ein Team um Kaveh Razavi, Professor für Computersicherheit an der ETH Zürich, herausgefunden hat (PDF).
So entdeckte das Team die Sicherheitslücke der Easyride-App
Das Team manipulierte Smartphones so, dass deren GPS-Standortdaten – auf die die SBB-App zugreift – mit gefälschten, aber realistisch wirkenden Standortinformationen überschrieben wurden. Diese Daten täuschten vor, der Nutzer oder die Benutzerin bewege sich ausschließlich auf engem Raum in einer Stadt, ohne ein öffentliches Verkehrsmittel zu benutzen.
So überlisteten die Forschenden die App
Das Team verwendete zwei Ansätze: In einem Fall erzeugte ein Programm die gefälschten Standortdaten direkt auf dem Smartphone. Im anderen Fall war das Smartphone mit einem Server verbunden, auf dem die SBB- App lief. Dieser Server generierte die gefälschten Standortdaten und übermittelte den Easyride-QR-Code an das Smartphone.
Tiere in der U-Bahn
Das war nach der Manipulation der Easyride-Funktion möglich
Die ETH-Forschenden testeten das von ihnen präparierte Smartphone auf mehreren Zugfahrten von Zürich in die Hauptstadt eines Nachbarkantons. Weder bei den Kartenkontrollen im Zug fiel der Betrug auf, noch wurden die tricksenden Nutzer im Nachhinein von der SBB kontaktiert. Stattdessen berechnete die SBB die Kosten der vorgetäuschten kleinräumigen Bewegungen, für die kein öffentliches Verkehrsmittel benutzt wurde. Das heißt, die Forschenden konnten mit Easyride kostenlos reisen.
Haben sich die Forschenden damit strafbar gemacht?
Nein. Zwar zeigte das Team bei Ticketkontrollen immer den generierten Easyride-QR-Code vor. Aber sie betonen, immer zusätzlich ein gültiges Ticket dabeigehabt zu haben. Andernfalls hätten sie sich wirklich strafbar gemacht, wie die SBB betont.
Die Forschenden haben die SBB zudem über die Schwachstelle informiert und präsentierten ihr auch die Lösungen, mit denen die Sicherheit der Funktion erhöht werden kann.
Die Bilder des Tages
Wie können diese aussehen?
Die Forschenden nennen zwei Ansätze: Entweder müssen die Standortdaten mit vertrauenswürdigen Standortmeldungen verifiziert werden oder die Smartphone-Ortung muss grundlegend verändert werden, damit eine Manipulation sehr viel schwieriger wird.
Beim ersten Ansatz wäre es zum Beispiel möglich, die vom Smartphone eines Nutzers übermittelten Informationen mit Standortdaten zu vergleichen, denen ein Transportunternehmen traut, zum Beispiel mit denen des Fahrzeugs oder des Mobilgeräts eines Kontrolleurs. Der zweite Ansatz ist schwieriger. Dazu müsste man die Entwickler von Smartphone-Hardware und -Betriebssystemen an einen Tisch bringen und sie davon überzeugen, eine neuartige manipulationssichere Ortungstechnologie zu entwickeln. "Bis es so weit ist, bleibt allen, die sich auf die Standortinformationen von Smartphones verlassen müssen, nichts anderes übrig, als diese sie so gut wie möglich mit einer vertrauenswürdigen Standortdatenquelle zu verifizieren", so Razavi in einer Mitteilung.
Easyride-App überlisten: Hätte das jeder und jede machen können?
Laut Razavi braucht es Fachwissen, um das eigene Smartphone zu manipulieren. Das sei aber Wissen, über das Informatik-Studentinnen und -Studenten bereits ab Bachelorstufe verfügten, sagt Razavi. Dass es durchaus auch jüngere Personen gibt, die darüber verfügen, zeigte sich 2020: Jordan Unegbu war erst 15 Jahre alt, als er die SBB-Funktion überlistete. Wie die ETH-Forscher hatte er bei seinen durch die Sicherheitslücke der App ermöglichten Freifahrten immer ein gültiges Ticket dabei und auch er meldete seine Entdeckung der SBB. Schon damals erklärte diese, "mit Hochdruck an einer Lösung zur Behebung" zu arbeiten.
Gibts die Lücke immer noch?
Nach eigenen Angaben hat die SBB nach den Hinweisen des ETH-
Forscherteams die Überprüfung der an den Server übermittelten Standortdaten verbessert. Manipulationen werden heute laut der SBB im Nachhinein erkannt und zur Anzeige gebracht. Wie die Überprüfung genau erfolgt, gibt die SBB aus Sicherheitsgründen nicht bekannt.