Akt.:

Android-App ermöglicht Gratis-Öffi-Nutzung

"In Wien haben NFC-Fahrscheine momentan keine Priorität". "In Wien haben NFC-Fahrscheine momentan keine Priorität". - © APA
Forscher haben kürzlich auf der EUSecWest-Sicherheitskonferenz in Amsterdam eine Android-App präsentiert, mit der manche mit NFC-Chips ausgerüstete Fahrscheine in öffentlichen Verkehrsnetzen manipuliert werden können.

Korrektur melden

Die App ermöglicht es, die Hightech-Fahrscheine nach Verwendung wieder zurückzusetzen. So kann ein Fahrschein für zehn Fahrten nach dem Aufbrauchen des Kontingents mit einem NFC-fähigen Smartphone beliebig oft wieder aufgefüllt werden, ohne zu bezahlen, berichtet computerworld.com. In San Francisco und New Jersey haben die Forscher die Sicherheitslücke bereits nachgewiesen, der Trick funktioniert vermutlich aber auch in vielen anderen Städten.

Untätige Betreiber

“In Wien haben NFC-Fahrscheine momentan keine Priorität. Durch das offene System ohne Zugangsschranken und die Flatrate-Tarifstruktur gibt es keinen Bedarf. Zudem versuchen wir unsere Kunden zum Kauf von Dauerkarten zu überreden. Eine Umstellung wäre auch sehr kostenintensiv. Vielleicht schauen wir uns die Technologie irgendwann trotzdem noch einmal an”, sagt Dominik Gries von den Wiener Linien gegenüber pressetext.

Die Android-App, mit der die Tickets manipuliert werden können, nennt sich “UltraReset” und verwendet eine Sicherheitslücke in “Mifare Ultralight”-NFC-Chips. Eigentlich sollte bei jeder Nutzung einer NFC-Fahrkarte ein Bit auf dem Chip geschaltet werden. Dieser Vorgang ist irreversibel und macht eine Wiederverwendung der Karte unmöglich. Bei den Tickets der Verkehrsbetriebe in San Francisco und New Jersey ist diese Funktion aber nicht aktiviert. Beim Nutzen der Fahrscheine werden lediglich die Nutzerdaten ausgelesen, ohne die Kontroll-Bits zu schalten. So können etwa Zehnerblöcke nach der Nutzung einfach zurückgesetzt werden.

Hightech-Schwarzfahrer

Die Forscher sagen, dass UltraReset sehr einfach herzustellen war. Sie haben die betroffenen Verkehrsbetriebe gleich nach Entdecken der Lücke Ende 2011 informiert, diese haben bisher allerdings nicht reagiert. Die Wissenschaftler vermuten, dass auch die Systeme anderer US-Städte dieselbe Sicherheitslücke aufweisen, etwa in Boston, Seattle, Salt Lake City, Chicago oder Philadelphia. Die Forscher haben eine entschärfte Version von UltraReset als “UltraCardTester” ins Netz gestellt, mit der getestet werden kann, ob ein Ticketsystem verwundbar ist. Das Wiederbeschreiben der Fahrscheine ist mit der verfügbaren Version aber nicht möglich.

Das Beheben der Sicherheitslücke wäre laut den Wissenschaftlern problemlos möglich. Ein kleines Update könnte garantieren, dass die Kontrollbits geschaltet werden, der Umstieg auf andere NFC-Chips wäre ebenfalls nicht mit viel Aufwand verbunden. Allgemein sind technische Lücken für die Betriebe oft gar nicht so problematisch. Durch SMS-Tickets oder App-Fahrscheine können sich Schwarzfahrer bei Kontrollen beispielsweise kurzfristig noch Fahrscheine kaufen. “Es gibt sicher neue Möglichkeiten des Schwarzfahrens. Das ist aber nicht Technik-getrieben. Auch früher konnten Fahrgäste ihre Fahrscheine erst im Falle einer Kontrolle stempeln”, so Gries.

Wiener Linien: Nutzungsbedingungen modifiziert

Trotzdem wurden die Nutzungsbedingungen der Wiener Linien leicht modifiziert. “Bei SMS-Tickets muss die Bestätigungs-Mitteilung vor Fahrtantritt beim Kunden angekommen sein. Merkt der Kontrolleur, dass das nicht der Fall ist, gilt das als Schwarzfahren”, erklärt Gries. (pte Austria)

Werbung


Kommentare 0

Herzlichen Dank für Ihren Kommentar - dieser wird nach einer Prüfung von uns freigeschaltet. Beachten Sie, dass dies gerade an Wochenenden etwas länger dauern kann.

Kommentare von registrierten Usern werden sofort freigeschaltet - hier registrieren!

 
noch 1000 Zeichen
 
Verkehr in Vorarlberg

Mehr auf vol.at
Amazon Prime startet Video-on-Demand-Dienst in Österreich
Der amerikanische Online-Versandhändler Amazon bietet sein Abo-Service "Amazon Prime" nun auch in Österreich an. Wie [...] mehr »
Google testet werbefreie Webseiten gegen monatliche Gebühr
Der US-Internetkonzern Google testet werbefreie Webseiten gegen eine monatliche Gebühr. mehr »
Taxiservice Uber bekommt in Österreich Besuch vom Arbeitsinspektorat
Der umstrittene Taxiservice "Uber" wird in Österreich bald auf die Einhaltung der Arbeitszeiten überprüft. Das [...] mehr »
Der digitale Fußabdruck im Internet: 6 Links zeigen, was Google über Sie weiß
Der gläserne Nutzer: Google arbeitet zielstrebig daran, möglichst viele Informationen über sämtliche Nutzer zu [...] mehr »
WhatsApp jetzt mit Textverschlüsselung
Nachdem der Nachrichtendienst im Vergleich mit anderen Messengern schlecht abschnitt, wird nun eine Möglichkeit zur [...] mehr »
Mehr Meldungen »
Werbung
Jetzt meistgelesen auf VOL.AT
Werbung

Sie sind bei Facebook? Wir haben etwas Besonderes für Sie ...

Wenn Sie jetzt Ihren Facebook-Account mit %s verknüpfen, haben Sie einfachen Zugang zur beliebten Kommentar-Funktion auf %s, können Artikel einfach mit Ihren Freunden teilen - und auch selbst Fotos und Artikel auf %s hochladen.

{username}


Passwort vergessen?
{username}

Bitte max. 32 Zeichen verwenden

Ihren Benutzernamen können Sie hier ändern. Wir schlagen vor, dass Sie Ihren richtigen Namen verwenden, um an Diskussionen teilzunehmen.

Muss eine gültige E-Mail-Adresse sein

Benachrichtigungen und Newsletter (falls gewollt) werden an diese Emailadresse versendet. Ihre Privatsphäre ist uns wichtig

{username}%s antworten

OK, {username} - nun ist alles eingerichtet.

OK

Der Benutzer mit dem Sie sich einlochen wollen ist noch nicht aktiviert. Bitte klicken Sie auf den Aktivierungslink den wir Ihnen an %s gesendet haben. Aktivierungsmail erneut schicken OK

Anmelden

Facebook-Benutzer?

Sie können Ihren Facebook-Account zum Anmelden verwenden:

Mit Facebook verbinden



Passwort vergessen?
Neu registrieren

Anmelden - oder ohne Registrierung diskutieren

Als VOL.AT User anmelden:




Passwort vergessen?

Unregistrierter User:

Bei unregistrierten Benutzern wird der Kommentar erst nach einer Prüfung freigeschaltet. Beleidigende, rassistische, ausfällige oder nicht themenbezogene Kommentare werden nicht veröffentlicht. Kommentare von eingeloggten Usern werden sofort veröffentlicht.

Neu registrieren



Bitte Javascript aktivieren!