WIFIonICE: CCC advarer om vedvarende sikkerhedsproblem i toget WiFi

WIFIonICE: CCC advarer om vedvarende sikkerhedsproblem i toget WiFi

(Billede: Tysk Railroad, Inc.)

Den tyske jernbane ville tillade angribere stadig at samle sig på deres varme bade i ICE oplysninger om brugere. Det omfatter deres placering, MAC-adressen på terminal enheder eller den datamængde anvendte, klagede hacker klub.

Mobile Internet takst sammenligningudstillingdatahastighed3,6 Mbit / s (HSDPA)7,2 Mbit / s (HSDPA)mere end 7,2 Mbit / s

en tjeneste af

Den Chaos Computer Club (CCC) beskylder Deutsche Bahn, med deres gratis trådløst netværk i udvalgte ICE-tog for meget information om brugere "videregive", En vedvarende "konceptuelle sårbarhed" gøre det muligt for tredjeparter lanceret i det sidste år tilbud "WIFIonICE"Hemmeligt læse følsomme oplysninger såsom placering, MAC-adressen på terminal enheder eller det krævede beløb af data for brugeren. En talsmand for klubben klagede "pinligt anklageskrift", Gruppen var naturligvis overvældet med deres egen digitaliseringsstrategi helt. En jernbane talsmand fortalte Heise online at selskabets professionelle lige tjekket påstanden. Desuden nedsaettes no "pålidelige oplysninger" før.

Problemer fra starten

Den stridspunkt: Den Hannoveraner sikkerhedsekspert Nexus511 havde allerede beskrevet det vigtigste problem kort efter starten af ​​testen drift af trådløse udbud og "implementering grottige" klager over projektet. derefter toget talte om en lige "påståede overtrædelse sikkerhed"Hvem har endnu løst hurtigt.

Nexus511 nu efter opdagelsen neddrosling af det trådløse netværk om bord på et ICE den formodede "patch" og sætte hele systemet igen under lup. Hans konklusion: Den "Quick-fix handling" transportvirksomheden at udrydde fejlene har vist sig at være uegnet. Den mandat fra jernbane tjeneste afspejles også af måneder ude af stand til at løse problemet faktisk.

Koncepter placeret, "uden at forstå dem"

Hackeren har anført, at selskabet, blandt andet ikke at bruge grundlæggende sikkerhedsfunktioner ordentligt, udbud af browseren. I stedet egne begreber ville etablere i multi-million dollar trådløse projekt "uden at forstå dem", Konkret Nexus spiller en derudover implementeret "henvisende"Field i browseren, den "sporing" frihed og udgjorde en risiko for privatlivets fred.

Det er endnu værre, i henhold til den sikkerhed testeren dog, at denne løsning kunne være slået fra ved udvidelser eller en udtrykkelig erklæring i hovedet af en webside og "denne viden er meget nyttigt at en angriber i tilfælde af toget", Så den tidligere påvisning af kløften fungerer som en "Proof of Concept" med et minimum supplement igen. Tilsyneladende penge for den trådløse projekt ikke engang "for en erfaren web-udvikler" nok. CCC håber kun "at internettet har bedre sikkerhed for deres tog, signaler og elektroniske billetter under kontrol", For nylig har virksomheden måttet kæmpe med WIFIonICE med tvivlsomme certifikater og problemer med sikre forbindelser til PayPal.

[Update 2017/07/18 08:09]:

Ifølge internettet, er nu faktisk blevet vist den straks påbegyndt analyse "at den identificerede i oktober og lukkes ved hjælp af en opdatering sårbarhed kan udnyttes igen med en anden metode", Men et selskab talsmand understregede, at "ud over de transaktionsdata fra terminalen til enhver tid personlige brugerdata såsom adressebogen eller fotos var tilgængelig", Du arbejder med tjenesteudbyderen Icomera "For at lukke hullet i fuld fart så hurtigt som muligt", Desuden vil hele systemet scannes for tænkelige sårbare. (Stefan Krempl) /(ANW)