Bahn patzt bei WLAN-Konfiguration [Update]

Das neue Bahn-WLAN ist anfällig für Cross-Site-Request-Forgery-Angriffe. Damit lassen sich IP- und MAC-Adressen einzelner Geräte sowie die aktuellen GPS-Koordinaten des Zugs ausspähen. Werbetreibende können mit den Daten auch Bewegungsprofile erstellen.

Das neue WLAN-Angebot der Deutschen Bahn erfüllt offenbar nicht die heute üblichen Sicherheitsstandards. Diesen Vorwurf erhebt zumindest ein Mitglied des Chaos Computer Club, das sich selbst Nexus nennt. Unter anderem soll das drahtlose Netzwerk persönliche Daten seiner Nutzer preisgeben und keinen Schutz vor Cross-Site-Request-Forgery-Angriffen (CSRF) bieten.

ICE 3 Baureihe 407 (Bild: Deutsche Bahn/Volker Emersleben)Auf die Mängel wurde Nexus bei dem Versuch aufmerksam, ein Script zu schreiben, das es ihm erlaubt, sich im Bahn-WLAN anzumelden ohne den Browser zu öffnen. „Die gute Nachricht: Das ist einfacher als gedacht. Die schlechte Nachricht: Das liegt daran, dass dort Menschen ‚gefrickelt‘ haben, denen offensichtlich grundlegende Angriffe wie Cross-Site-Request-Forgery vollkommen unbekannt sind oder denen die Privatsphäre der Nutzer im Zug-WLAN vollkommen egal ist.“

Um das WLAN in Zügen der Deutschen Bahn nutzen zu können, muss ein sogenanntes Captive-Portal mit der Adresse wifionice.de aufgerufen werden. Dort bestätigt man über einen Button die Geschäftsbedingungen. Der Klick auf den Button schickt eine Anfrage (Request) an die Domain omboard.info, die die IP-Adresse und MAC-Adresse abfragt und für die WLAN-Nutzung freischaltet. Das gesamte System funktioniere „nur mit Cross-Site-Requests“, wie Nexus in einem Blogeintrag ausführt.

Auf Schutzmaßnahmen gegen Cross-Site-Request-Forgery-Angriffe sei indes verzichtet worden. Üblicherweise würden für Formulare beispielsweise Token mitgesendet. Ohne Kenntnis des Tokens seien keine Cross-Site-Zugriffe möglich, Domain A könne also keine Daten von Domain B abfragen.

Da die Absicherung per Token fehle, lasse sich Code für CSRF-Angriffe in beliebige Websites einbetten, so Nexus weiter. Dadurch sei es unter anderem möglich, Nutzer den Bahn-WLANs „einfach mal offline zu schalten“. Ein Angreifer könne aber auch die für die WLAN-Verbindung zur Verfügung gestellten Statusinformationen ausspähen. Dazu zählen die „GPS-Koordinaten des Zugs, aktuelle Zellinformationen der LTE-Infrastruktur sowie nutzerspezifische Informationen wie IP- und MAC-Adresse der genutzten Hardware“.

Der Blogeintrag enthält auch Beispielcode für die Abfrage der Nutzer- und Positionsdaten. „Versieht man eine Website mit einem geeigneten Skript, erlaubt dies die eindeutige Erfassung und Zuordnung von Bewegungsdaten bei Seitenzugriffen“, so der Hacker weiter. Werbetreibende könnten den Code in Werbebanner einbetten und Bewegungsprofile von Internetnutzern erstellen.

Sein Fazit lautet: „Es ist davon auszugehen, dass eine nicht unerhebliche Menge an Geld in die Erstellung der Captive-Portal-Software geflossen ist. Offensichtlich wurde auf der Software kein Security-Audit durchgeführt sondern auf die Fachkenntnis des Herstellers vertraut. Bei letzterem fehlt es entweder an Grundlagenwissen in Bezug auf Webtechnologien oder es existiert keine Sensibilisierung für die Privatsphäre der Nutzer.“ Nutzern der Deutschen Bahn empfiehlt er, per Firewallregel nach dem Log-in ins WLAN TCP-Verbindungen zur Adresse 172.16.0.1 zu verbieten. „Bei aktueller Umsetzung lässt man den Browser im Zug aber vielleicht am besten einfach geschlossen.“

[Update 13.10.2016, 16:27]
Die Deutsche Bahn hat sich inzwischen dazu schriftlich geäußert. „Wir haben die vom Chaos Computer Club beschriebene vermeintliche Sicherheitslücke identifiziert. Wir haben bereits begonnen, ein Softwareupdate aufzuspielen, so dass das Problem bis zum Ende des Tages bei allen Zügen behoben sein wird“, so ein Sprecher der Deutschen Bahn vor wenigen Minuten.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Deutsche Bahn, Privacy, Security, Sicherheit, WLAN

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Bahn patzt bei WLAN-Konfiguration [Update]

Kommentar hinzufügen
  • Am 13. Oktober 2016 um 18:58 von PeerH

    Schön von ‚Nexus‘, dass er so ein Genie ist – aber hätte ein Genie sich nicht zuerst mit der Bahn in Verbindung gesetzt, und sie darüber informiert, bevor er damit an die Öffentlichkeit geht?

  • Am 14. Oktober 2016 um 9:44 von M@tze

    Das hat nichts mit Genie zu tun, die Software ist einfach nur dämlich programmiert. Gerade bei einem großen öffentlichen WLAN wie im ICE solche Fehler zu machen ist grob fahrlässig. Das sich Fahrgäste (aus Langeweile) während der Zugfahrt daran versuchen werden, in dieses einzudringen oder Lücken zu finden war doch völlig zu erwarten. Außerdem würde ich den Projektleiter feuern, da anscheinend nicht mal ein Hardening/Security Audit durchgeführt wurde. Da würde so ein Quark sofort auffallen. Aber klar, Geld gespart…

  • Am 17. Oktober 2016 um 12:14 von hugo

    Wenn die Bahn solche Kardinalsfehler macht, gehört das sofort an die Öffentlichkeit, andernfalls ist nicht mal eine schnelle Behebung gewährleistet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *