WLAN-Netz der Deutschen Bahn nicht sicher vor Angriffen

Das neue WLAN-Angebot der Deutschen Bahn ist erst in wenigen Zügen installiert und weist doch bereits Sicherheitslücken auf. Wie ein Mitglied des Chaos Computer Clubs Nexus meldet, soll das Netzwerk persönliche Nutzerdaten preisgeben. Die Geräte sind nicht vor Cross-Site-Request-Forgery-Angriffen (CSRF) gefeit.

Einbau der Multiprovider-Technik im ICE

Einbau der Multiprovider-Technik für das WLAN-Angebot der Bahn in einem ICE (Bild: Martin Moritz/Deutsche BahnAG)

Nexus ist auf die Schwachstellen aufmerksam geworden, als seine Experten ein Script schreiben wollten, mit dem sie sich ohne Öffnen des Browsers im Bahn-WLAN anmelden wollten. „Die gute Nachricht: Das ist einfacher als gedacht‘, so Nexus in einem Statement. „Die schlechte Nachricht: Das liegt daran, dass dort Menschen gefrickelt haben, denen offensichtlich grundlegende Angriffe wie Cross-Site-Request-Forgery vollkommen unbekannt sind oder denen die Privatsphäre der Nutzer im Zug-WLAN vollkommen egal ist.“

Um sich über das WLAN-Netz der DB-Züge ins Internet zu gelangen, muss man zunächst ein sogenanntes Captive-Portal mit der Adresse wifionice.de aufrufen. Nachdem man den Geschäftsbedingungen zugestimmt hat, wird eine Anfrage (Request) an die Domain omboard.info geschickt. Diese fragt die IP-und MAC-Adresse ab und schaltet die WLAN-Nutzung frei. Das gesamte System funktioniere „nur mit Cross-Site-Requests“, wie Nexus in seinem Blogeintrag schreibt.

Telekom-Hotspot in einem ICE (Bild: Deutsche Bahn)

Telekom-Hotspot in einem ICE (Bild: Deutsche Bahn)

Auf Schutzmaßnahmen gegen Cross-Site-Request-Forgery-Angriffe sei verzichtet worden. Üblicherweise würden für Formulare sogenannte Token mitgesendet. Ohne Kenntnis des Tokens seien keine Cross-Site-Zugriffe möglich, Domain A könne also keine Daten von Domain B abfragen.

Da die Absicherung per Token fehle, lasse sich Code für CSRF-Angriffe in beliebige Websites einbetten, so Nexus weiter. Dadurch sei es unter anderem möglich, Nutzern das Bahn-WLAN „einfach mal offline zu schalten“. Ein Angreifer könne aber auch die für die WLAN-Verbindung zur Verfügung gestellten Statusinformationen ausspähen. Dazu zählen die „GPS-Koordinaten des Zugs, aktuelle Zellinformationen der LTE-Infrastruktur sowie nutzerspezifische Informationen wie IP- und MAC-Adresse der genutzten Hardware“.

Deutsche Bahn: fahrlässig oder mangelndes Fachwissen?

Der Blogeintrag enthält auch Beispielcode für die Abfrage der Nutzer- und Positionsdaten. „Versieht man eine Website mit einem geeigneten Skript, erlaubt dies die eindeutige Erfassung und Zuordnung von Bewegungsdaten bei Seitenzugriffen“, so der Hacker weiter. Werbetreibende könnten den Code in Werbebanner einbetten und Bewegungsprofile von Internetnutzern erstellen.

Sein Fazit lautet: „Es ist davon auszugehen, dass eine nicht unerhebliche Menge an Geld in die Erstellung der Captive-Portal-Software geflossen ist. Offensichtlich wurde auf der Software kein Security-Audit durchgeführt sondern auf die Fachkenntnis des Herstellers vertraut. Bei letzterem fehlt es entweder an Grundlagenwissen in Bezug auf Webtechnologien oder es existiert keine Sensibilisierung für die Privatsphäre der Nutzer.“ Nutzern der Deutschen Bahn empfiehlt er, per Firewallregel nach dem Log-in ins WLAN TCP-Verbindungen zur Adresse 172.16.0.1 zu verbieten. „Bei aktueller Umsetzung lässt man den Browser im Zug aber vielleicht am besten einfach geschlossen.“

[mit Material von Stefan Beiersmann, ZDNet.de]

Neueste Kommentare 

Noch keine Kommentare zu WLAN-Netz der Deutschen Bahn nicht sicher vor Angriffen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *