6 replies to this topic

[PaulaAbdul]

Vorsicht beim Shoppen im Zug: WIFIonICE manipuliert PayPal

 

Das kostenlose Funknetz der Bahn verhindert eine gesicherte Verbindung zum Bezahldienstleister PayPal und liefert dabei ein dubioses Zertifikat. Andere HTTPS-Verbindungen sind anscheinend nicht betroffen.

 

 

Seit einiger Zeit bietet die Deutsche Bahn in ausgewählten ICE-Zügen kostenloses WLAN unter dem Namen WIFIonICE an. In den vergangenen Tagen berichteten mehrere Leser heise Security, dass ihre gesicherten Verbindungen zu PayPal im WLAN der Bahn seltsame Fehlermeldungen lieferten. Da das die Sicherheit von Bezahlvorgängen betrifft, klingt das sehr dubios und vielleicht sogar gefährlich. Wir konnten das Phänomen
selbst in einem ICE nachvollziehen.

HTTPS soll nicht nur die übertragenen Daten verschlüsseln, sondern auch sicherstellen, dass die am anderen Ende beim richtigen Empfänger ankommen. Das ging bei einem Kurztest auf dem Notebook gründlich schief: Statt der erwarteten HTTPS-gesicherten Verbindung zu Paypal zeigte der Web-Browser eine Fehlermeldung, dass die Verbindung nicht sicher sei, weil der Name des Servers nicht stimme.

Eine genauere Inspektion des Zertifikats zeigte dann auch, dass es von Symantec im Januar für ein dänisches Logistik-Unternehmen namens Maersk Line ausgestellt wurde. Der sogenannte Common Name des Zertifikats lautet apid.maerskline.com †“ das klingt nach einem Firmen-WLAN. Wie das in die HTTPS-Verbindung zu Paypal geraten konnte, ist ein Rätsel, das wohl nur die Deutsche Bahn auflösen kann. Insbesondere weil der Gegentest mit diversen anderen HTTPS-Seiten nichts ergab: Facebook, heise online und einige Banken-Seiten luden völlig normal. Und nach dem Umschalten von Bahn-WLAN auf Mobilfunk (LTE-Tethering) begrüßte uns auch PayPal wieder mit dem grünen Schloss. Safari öffnet klaglos eine angeblich sichere Verbindung zu PayPal.

 

Seltsames iPhone-Verhalten

Noch rätselhafter wurde es jedoch beim Gegencheck auf dem Smartphone. Dort zeigte der iPhone-Browser Safari im WIFIonICE die angeblich sichere HTTPS-Paypal-Seite an. Leider erlaubt es Apple dem Anwender nicht, das angelieferte Zertifikat zu prüfen. So kann es sein, dass das WLAN der Bahn die iPhone/Safari-Verbindung tatsächlich unangetastet lässt. Oder Safari ignoriert das falsche Zertifikat aus welchen Gründen auch immer. Ein Test mit Chrome auf dem gleichen iPhone erbrachte jedenfalls wieder einen SSL-Fehler. Allerdings verhält sich Chrome bei HTTPS/TLS und Zertifikaten manchmal auch päpstlicher als der Papst.

Ursachenforschung

Antiviren-Software beziehungsweise Internet-Security-Suiten klinken sich öfter in HTTPS-Verbindungen ein, um Downloads und Web-Seiten auf mögliche Gefahren zu untersuchen. Weder das Notebook noch das iPhone hatten jedoch derartige Schutz-Software. Angesichts der unabhängigen Berichte über Zertifikatsfehlern bei Lesern, die in anderen Zügen saßen, steht fest, dass im WLAN der Deutschen Bahn seltsame Dinge passieren. Chrome hingegen beschwert sich auf dem gleichen iPhone über einen SSL-Fehler.
Chrome hingegen beschwert sich auf dem gleichen iPhone über einen SSL-Fehler. Vergrößern

In Firmennetzen ist es durchaus üblich, dass sich †“ in Absprache mit den Mitarbeitern und mit entsprechenden Vorkehrungen, um Zertifikatsfehler zu vermeiden †“ etwa Intrusion Detection Systeme in HTTPS-Verbindungen einklinken. Das kann in diesem Fall jedoch ausgeschlossen werden. Ein öffentliches WLAN sollte HTTPS-Verbindungen unangetastet lassen. Das weiß eigentlich auch die Bahn, die in ihrer WIFIonICE-Beschreibung erklärt:

Um eine sichere Übertragung zu gewährleisten, empfehlen wir Ihnen das WLAN-Angebot im ICE über eine VPN-Verbindung zu nutzen oder nur Webseiten mit dem Zusatz „https://†œ zu besuchen.

Schon wegen des Zertifikatsfehlers erscheint jedoch ein echter Angriff recht unwahrscheinlich. Eher schon könnte es sein, dass etwa auf Grund einer Fehlkonfiguration im DNS die Verbindung zu einem falschen Server umgeleitet wird (was ich dummerweise nicht mehr getestet habe). Wir werden dem jedoch weiter nachgehen und haben bei der Deutschen Bahn bereits nachgefragt, was da passiert. Bis die das Rätsel auflöst, sollten Sie lieber keine Bezahlvorgänge oder andere wirklich wichtige Dinge im WIFIonICE der Bahn tätigen.

 

 

Quelle:

Please Login HERE or Register HERE to see this link!

[ice]

Was habe ich denn jetzt damit zu tun... :-D

 

Wird sicherlich sehr schnell aufgelöst werden. Ein Update dazu wäre dann sehr interessant.

[Juri]

Jaja, schön rausreden @ice .

 

Ich empfehle jedem in öffentlichen Netzwerken keine wichtigen "Dinge" zu machen. Einfach bs.to aufrufen und ne Serie glotzen, dafür ist mMn öffentliches Wlan da

[B1nary]

Ich empfehle jedem in öffentlichen Netzwerken keine wichtigen "Dinge" zu machen. Einfach bs.to aufrufen und ne Serie glotzen, dafür ist mMn öffentliches Wlan da

 

Jeder der Public WLAN für solche sensiblen Dienste ohne weiteren (eogenen) Schutz nutzt, ist echt selbst Schuld! Das sollte doch mittlerweile in den Köpfen der meisten Leute angekommen sein

[loginman1]

Jeder der Public WLAN für solche sensiblen Dienste ohne weiteren (eogenen) Schutz nutzt, ist echt selbst Schuld! Das sollte doch mittlerweile in den Köpfen der meisten Leute angekommen sein

 

Ich kenne persönlich sehr viele Personen den die eigene Privatsphäre scheinbar nicht so wichtig ist, und sich in jedes freie Wlan verbinden auch wenn ich eventuell der Router namens z.b Mcdonalds bin , meistens sind es Frauen denen es egal ist, und meinen Sie hätten ja nichts zu verbergen, aber dann irgendwann rum heulen wenn ihr Account gehackt wird oder ihre Private Snapchatpics online gestellt werden.

 

lg Loginman1

[Juri]

@loginman1

 

Ja, das kenne ich nur zu gut. Aber was willste den Leuten erzählen, wenn man dene erklärt wie einfach das ist, und die das einfach trotzdem nicht juckt? 

Einfach ignorieren & die Leute machen lassen^^ 

[jmPesp]

Ich kenne persönlich sehr viele Personen den die eigene Privatsphäre scheinbar nicht so wichtig ist, und sich in jedes freie Wlan verbinden auch wenn ich eventuell der Router namens z.b Mcdonalds bin , meistens sind es Frauen denen es egal ist, und meinen Sie hätten ja nichts zu verbergen, aber dann irgendwann rum heulen wenn ihr Account gehackt wird oder ihre Private Snapchatpics online gestellt werden.

 

lg Loginman1

 

 

Dazu sage ich nur Amazon echo (Alexa) .. die Menschheit holt sich die Wanze selbst ins Haus und das beste .. sie bezahlt auch noch 180,- dafür ..