Der Kontrolleur bemerkte nichts: Forschende der ETH haben die Easyride-Funktion der SBB überlistet. Sie hatten die Standortdaten auf einigen Smartphones manipuliert und testeten sie auf mehreren Zugfahrten. Der Betrug fiel weder bei den Billettkontrollen im Zug auf, schreiben die Forschenden in einer Mitteilung, noch wurden sie im Nachhinein von den SBB kontaktiert. Sie fuhren also gratis.

Was war passiert? Eine Gruppe von Forschenden und Studierenden um den ETH-Professor für Computersicherheit Kaveh Razavi vermuteten vor einem Jahr, dass sich die Easyride-Funktion überlisten lässt, und stellten sie auf die Probe. Sie veränderten die Smartphones so, dass die GPS-Standortdaten mit gefälschten, aber realistisch wirkenden Standortinformationen überschrieben wurden.

Denn die Easyride-Funktion ist auf solche Standortdaten angewiesen: Statt ein herkömmliches Billett zu lösen, können die Nutzer vor einer ÖV-Fahrt auf der SBB-App «einchecken» und am Ende der Fahrt wieder «auschecken». Dem Billettkontrolleur zeigen sie einen QR-Code, der diesem bestätigt, dass Easyride aktiviert ist. Während der Fahrt sendet die App laufend Standortdaten an einen SBB-Server. Der Server berechnet daraus die zurückgelegte Strecke, und die SBB stellt dem Nutzer die Fahrtkosten in Rechnung.

Die manipulierten Daten der ETH-Forschenden gaben vor, der Nutzer bewege sich nur auf engem Raum in einer Stadt, ohne ein öffentliches Verkehrsmittel zu nutzen, während er eigentlich im Zug von einer Stadt zur nächsten sass. Die Forschenden betonen, sie hätten bei allen Tests zusätzlich ein gültiges Billett dabeigehabt, dem Billettkontrolleur zeigten sie aber den Easyride-QR-Code auf den präparierten Smartphones.

Die Forschenden verwendeten zwei Ansätze: In einem Fall erzeugte ein Programm die gefälschten Standortdaten direkt auf dem Smartphone. Im anderen Fall war das Smartphone mit einem Server verbunden, auf dem die SBB-App lief. Dieser Server generierte die gefälschten Standortdaten und übermittelte den Easyride-QR-Code an das Smartphone.

Zwar brauche es Fachwissen, um das eigene Smartphone zu manipulieren, geben die Forschenden zu. «Über dieses Wissen verfügen Informatik-Studierende aber bereits ab der Bachelorstufe», sagt der Forschungsleiter Kaveh Razavi. Mit entsprechender krimineller Energie wäre es sogar möglich, ein Smartphone-Programm und einen Onlinedienst anzubieten, um auch Betrugswillige ohne Informatikkenntnisse mit gefälschten, aber plausibel erscheinenden Standortdaten zu versorgen.

«App-Entwickler sollten die Standortdaten eines Smartphones nicht als vertrauenswürdige Daten behandeln», sagt der Doktorand Michele Marazzi, der in der Forschungsgruppe mitgearbeitet hatte. «Darauf wollten wir mit unserer Arbeit aufmerksam machen.»

Zur Lösung des Problems schlagen die Forschenden zwei Ansätze vor: Entweder müssen die Standortdaten mit vertrauenswürdigen Standortmeldungen verifiziert werden, oder die Smartphone-Ortung muss grundlegend verändert werden, damit eine Manipulation sehr viel schwieriger wird.

Die ETH-Forschenden informierten die SBB über die Schwachstelle und standen während des letzten Jahres mit deren Fachleuten in Kontakt. Die SBB legen Wert auf die Feststellung, dass es strafbar ist, die Easyride-nFunktion mit manipulierten Standortdaten zu benutzen. Nach eigenen Angaben haben die SBB nach den Hinweisen des ETH-Forscherteams die Überprüfung der Standortdaten verbessert.

Manipulationen werden heute laut den SBB im Nachhinein erkannt und zur Anzeige gebracht. Wie die Überprüfung genau erfolgt, geben die SBB aus Sicherheitsgründen nicht bekannt.(lil)