Android-App ermöglicht Gratis-Öffi-Nutzung
Die App ermöglicht es, die Hightech-Fahrscheine nach Verwendung wieder zurückzusetzen. So kann ein Fahrschein für zehn Fahrten nach dem Aufbrauchen des Kontingents mit einem NFC-fähigen Smartphone beliebig oft wieder aufgefüllt werden, ohne zu bezahlen, berichtet computerworld.com. In San Francisco und New Jersey haben die Forscher die Sicherheitslücke bereits nachgewiesen, der Trick funktioniert vermutlich aber auch in vielen anderen Städten.
Untätige Betreiber
“In Wien haben NFC-Fahrscheine momentan keine Priorität. Durch das offene System ohne Zugangsschranken und die Flatrate-Tarifstruktur gibt es keinen Bedarf. Zudem versuchen wir unsere Kunden zum Kauf von Dauerkarten zu überreden. Eine Umstellung wäre auch sehr kostenintensiv. Vielleicht schauen wir uns die Technologie irgendwann trotzdem noch einmal an”, sagt Dominik Gries von den Wiener Linien gegenüber pressetext.
Die Android-App, mit der die Tickets manipuliert werden können, nennt sich “UltraReset” und verwendet eine Sicherheitslücke in “Mifare Ultralight”-NFC-Chips. Eigentlich sollte bei jeder Nutzung einer NFC-Fahrkarte ein Bit auf dem Chip geschaltet werden. Dieser Vorgang ist irreversibel und macht eine Wiederverwendung der Karte unmöglich. Bei den Tickets der Verkehrsbetriebe in San Francisco und New Jersey ist diese Funktion aber nicht aktiviert. Beim Nutzen der Fahrscheine werden lediglich die Nutzerdaten ausgelesen, ohne die Kontroll-Bits zu schalten. So können etwa Zehnerblöcke nach der Nutzung einfach zurückgesetzt werden.
Hightech-Schwarzfahrer
Die Forscher sagen, dass UltraReset sehr einfach herzustellen war. Sie haben die betroffenen Verkehrsbetriebe gleich nach Entdecken der Lücke Ende 2011 informiert, diese haben bisher allerdings nicht reagiert. Die Wissenschaftler vermuten, dass auch die Systeme anderer US-Städte dieselbe Sicherheitslücke aufweisen, etwa in Boston, Seattle, Salt Lake City, Chicago oder Philadelphia. Die Forscher haben eine entschärfte Version von UltraReset als “UltraCardTester” ins Netz gestellt, mit der getestet werden kann, ob ein Ticketsystem verwundbar ist. Das Wiederbeschreiben der Fahrscheine ist mit der verfügbaren Version aber nicht möglich.
Das Beheben der Sicherheitslücke wäre laut den Wissenschaftlern problemlos möglich. Ein kleines Update könnte garantieren, dass die Kontrollbits geschaltet werden, der Umstieg auf andere NFC-Chips wäre ebenfalls nicht mit viel Aufwand verbunden. Allgemein sind technische Lücken für die Betriebe oft gar nicht so problematisch. Durch SMS-Tickets oder App-Fahrscheine können sich Schwarzfahrer bei Kontrollen beispielsweise kurzfristig noch Fahrscheine kaufen. “Es gibt sicher neue Möglichkeiten des Schwarzfahrens. Das ist aber nicht Technik-getrieben. Auch früher konnten Fahrgäste ihre Fahrscheine erst im Falle einer Kontrolle stempeln”, so Gries.
Wiener Linien: Nutzungsbedingungen modifiziert
Trotzdem wurden die Nutzungsbedingungen der Wiener Linien leicht modifiziert. “Bei SMS-Tickets muss die Bestätigungs-Mitteilung vor Fahrtantritt beim Kunden angekommen sein. Merkt der Kontrolleur, dass das nicht der Fall ist, gilt das als Schwarzfahren”, erklärt Gries. (pte Austria)
Du hast einen Hinweis für uns? Oder einen Insider-Tipp, was bei dir in der Gegend gerade passiert? Dann melde dich bei uns, damit wir darüber berichten können.
Wir gehen allen Hinweisen nach, die wir erhalten. Und damit wir schon einen Vorgeschmack und einen guten Überblick bekommen, freuen wir uns über Fotos, Videos oder Texte. Einfach das Formular unten ausfüllen und schon landet dein Tipp bei uns in der Redaktion.
Alternativ kannst du uns direkt über WhatsApp kontaktieren: Zum WhatsApp Chat
Herzlichen Dank für deine Zusendung.
