Die neue WLAN-Technik der Deutschen Bahn in ICE-Zügen gibt über eingeloggte Nutzer private Informationen preis. Zu diesem Schluss kommt eine Analyse des Hannover Chaos Computer Clubs. Der Vorwurf des Security-Experten „Nexus511“: Der für die Technik verantwortliche Anbieter Icomera berücksichtigt einige Sicherheitsgrundlagen nicht.
WLAN in ICEs
Die Nachricht kommt zu einem Zeitpunkt, an dem die Deutsche Bahn ihre ICEs mit neuer WLAN-Technik für rund 100 Mio. Euro ausstattet, um für Zugreisende eine stabile und schnelle Internet-Anbindung zu ermöglichen. Geht es nach den Plänen des Unternehmens, so sollen im Dezember dieses Jahres auch ICE Gäste der zweiten Klasse gratis surfen. Einige ICEs verfügen offensichtlich bereits über die aktualisierte Technik.
Cross-Site-Requests
Konkret geht es laut dem Sicherheitsforscher um das Portal bei dem sich Nutzer für die Nutzung des WLAN anmelden und den ABG zustimmen müssen, um online gehen zu können. Nach einem Klick versendet das Portal einen Request an http://www.ombord.info und die IP-/MAC-Adresse des jeweiligen Gerätes wird für den Internetzugang freigeschaltet. Das Ganze funktioniert über sogenannte Cross-Site-Requests. Zwar ist diese Methode gängig, bietet aber auch eine Angriffsfläche.
CSFR-Angriffe als Gefahr
Laut Nexus511 können Hacker über Cross-Site-Request-Forgery-Attacken (CSFR) eigene Requests ins Spiel bringen, die dann im vertrauenswürdigen Kontext ausgeführt werden. Gegenmaßnahmen – wie Tokens – sind einfach zu implementieren. In dem Zusammenhang greifen Experten auch auf Ajax zurück, das von Werk aus gegen CSFR-Angriffe gerüstet ist. Bei der Deutschen Bahn kommt hingegen JSONP zum Einsatz; offensichtlich ohne Tokens.
Infos über Nutzer
Dem Experten nach kann man daher etwa die URL im Header eines Requests abändern, um beliebige Seiten aufzurufen. Der Sicherheitsforscher hat gezeigt, wie sich Nutzer auf diese Art und Weise mit nur einer Code-Zeile aus dem WLAN werfen lassen. Auch das Abfragen von Status-Infos – etwa die Position eines Zuges, wie viele Nutzer eingeloggt sind oder weitere Statistiken – sollen möglich sein. Das erfolgt per JavaScript. Die JSONP-Anbindung realisiert das Abholen und Anzeigen der Daten und die Einbindung in beliebige Webseiten.
Update 13.10.2016 – 17:00 Uhr
Die Deutsche Bahn AG hat auf die Meldung der Sicherheitslücke mit dem folgenden Statement reagiert:
Hinweise zu möglichen Sicherheitslücken in unseren Systemen nehmen wir grundsätzlich sehr ernst, so auch den Blogeintrag des Chaos Computer Clubs. Wie bei Einführungsphasen üblich, testen wir das neue WLAN-System permanent auf Funktionsfähigkeit und Sicherheit. Wir haben die vom Chaos Computer Club beschriebene vermeintliche Sicherheitslücke identifiziert. Wir haben bereits begonnen, ein Softwareupdate aufzuspielen, so dass das Problem bis zum Ende des Tages bei allen Zügen behoben sein wird, so ein Sprecher der Deutschen Bahn gegenüber moobilux.com.