Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Jürgen Schmidt 162

Vorsicht beim Shoppen im Zug: WIFIonICE manipuliert PayPal Update

Vorsicht beim Shoppen in der Bahn - WIFIonICE kapert PayPal

Das kostenlose Funknetz der Bahn verhindert eine gesicherte Verbindung zum Bezahldienstleister PayPal und liefert dabei ein dubioses Zertifikat. Andere HTTPS-Verbindungen sind anscheinend nicht betroffen.

Seit einiger Zeit bietet die Deutsche Bahn in ausgewählten ICE-Zügen kostenloses WLAN unter dem Namen WIFIonICE an. In den vergangenen Tagen berichteten mehrere Leser heise Security, dass ihre gesicherten Verbindungen zu PayPal im WLAN der Bahn seltsame Fehlermeldungen lieferten. Da das die Sicherheit von Bezahlvorgängen betrifft, klingt das sehr dubios und vielleicht sogar gefährlich. Wir konnten das Phänomen selbst in einem ICE nachvollziehen.

HTTPS soll nicht nur die übertragenen Daten verschlüsseln, sondern auch sicherstellen, dass die am anderen Ende beim richtigen Empfänger ankommen. Das ging bei einem Kurztest auf dem Notebook gründlich schief: Statt der erwarteten HTTPS-gesicherten Verbindung zu Paypal zeigte der Web-Browser eine Fehlermeldung, dass die Verbindung nicht sicher sei, weil der Name des Servers nicht stimme.

Wie das Zertifikat von Maersk Line in die HTTPS-Verbindung zu PayPal kommt, ist ein Rätsel. Das Phänomen trat nur im WIFIonICE auf.
Wie das Zertifikat von Maersk Line in die HTTPS-Verbindung zu PayPal kommt, ist ein Rätsel. Das Phänomen trat nur im WIFIonICE auf. Vergrößern

Eine genauere Inspektion des Zertifikats zeigte dann auch, dass es von Symantec im Januar für ein dänisches Logistik-Unternehmen namens Maersk Line ausgestellt wurde. Der sogenannte Common Name des Zertifikats lautet apid.maerskline.com – das klingt nach einem Firmen-WLAN. Wie das in die HTTPS-Verbindung zu Paypal geraten konnte, ist ein Rätsel, das wohl nur die Deutsche Bahn auflösen kann. Insbesondere weil der Gegentest mit diversen anderen HTTPS-Seiten nichts ergab: Facebook, heise online und einige Banken-Seiten luden völlig normal. Und nach dem Umschalten von Bahn-WLAN auf Mobilfunk (LTE-Tethering) begrüßte uns auch PayPal wieder mit dem grünen Schloss. Safari öffnet klaglos eine angeblich sichere Verbindung zu PayPal.
Safari öffnet klaglos eine angeblich sichere Verbindung zu PayPal. Vergrößern

Seltsames iPhone-Verhalten

Noch rätselhafter wurde es jedoch beim Gegencheck auf dem Smartphone. Dort zeigte der iPhone-Browser Safari im WIFIonICE die angeblich sichere HTTPS-Paypal-Seite an. Leider erlaubt es Apple dem Anwender nicht, das angelieferte Zertifikat zu prüfen. So kann es sein, dass das WLAN der Bahn die iPhone/Safari-Verbindung tatsächlich unangetastet lässt. Oder Safari ignoriert das falsche Zertifikat aus welchen Gründen auch immer. Ein Test mit Chrome auf dem gleichen iPhone erbrachte jedenfalls wieder einen SSL-Fehler. Allerdings verhält sich Chrome bei HTTPS/TLS und Zertifikaten manchmal auch päpstlicher als der Papst.

Ursachenforschung

Antiviren-Software beziehungsweise Internet-Security-Suiten klinken sich öfter in HTTPS-Verbindungen ein, um Downloads und Web-Seiten auf mögliche Gefahren zu untersuchen. Weder das Notebook noch das iPhone hatten jedoch derartige Schutz-Software. Angesichts der unabhängigen Berichte über Zertifikatsfehlern bei Lesern, die in anderen Zügen saßen, steht fest, dass im WLAN der Deutschen Bahn seltsame Dinge passieren. Chrome hingegen beschwert sich auf dem gleichen iPhone über einen SSL-Fehler.
Chrome hingegen beschwert sich auf dem gleichen iPhone über einen SSL-Fehler. Vergrößern

In Firmennetzen ist es durchaus üblich, dass sich – in Absprache mit den Mitarbeitern und mit entsprechenden Vorkehrungen, um Zertifikatsfehler zu vermeiden – etwa Intrusion Detection Systeme in HTTPS-Verbindungen einklinken. Das kann in diesem Fall jedoch ausgeschlossen werden. Ein öffentliches WLAN sollte HTTPS-Verbindungen unangetastet lassen. Das weiß eigentlich auch die Bahn, die in ihrer WIFIonICE-Beschreibung erklärt:

Um eine sichere Übertragung zu gewährleisten, empfehlen wir Ihnen das WLAN-Angebot im ICE über eine VPN-Verbindung zu nutzen oder nur Webseiten mit dem Zusatz „https://“ zu besuchen.

Schon wegen des Zertifikatsfehlers erscheint jedoch ein echter Angriff recht unwahrscheinlich. Eher schon könnte es sein, dass etwa auf Grund einer Fehlkonfiguration im DNS die Verbindung zu einem falschen Server umgeleitet wird (was ich dummerweise nicht mehr getestet habe). Wir werden dem jedoch weiter nachgehen und haben bei der Deutschen Bahn bereits nachgefragt, was da passiert. Bis die das Rätsel auflöst, sollten Sie lieber keine Bezahlvorgänge oder andere wirklich wichtige Dinge im WIFIonICE der Bahn tätigen.

Update 19.05.2017, 18:00 Uhr

Ein zugfahrender Leser hat weiter nachgeforscht und festgestellt, dass im WIFIonICE der Name www.paypal.com zu einem Content-Delivery-Server von Akamai mit der IP-Adresse 23.46.119.241 aufgelöst wird. Ein Sprecher der Deutschen Bahn erklärte gegenüber heise Security unterdessen: "Wir haben den Fehler nachvollziehen können und arbeiten daran, ihn schnellstmöglich zu beheben."

Update 22.05.2017, 16:07 Uhr

Die Bahn hat den Fehler mittlerweile behoben. (ju)

162 Kommentare

Themen:

Anzeige
  1. GlobalSign annulliert versehentlich Zertifikate von vielen Webseiten

    GlobalSign annulliert versehentlich Zertifikate von vielen Webseiten

    Aktuell warnen einige Webbrowser davor, dass Verbindungen zu Webseiten wie etwa Wikipedia nicht mehr gesichert sind, da mit dem Zertifikat der Seite etwas nicht stimmt.

  2. Bahn beseitigt DNS-Fehler: Paypal wieder über WIFIonICE benutzbar

    Bahn beseitigt DNS-Fehler: Paypal wieder über WIFIonICE benutzbar

    Kunden der Deutschen Bahn können im ICE nun auch wieder mit Paypal bezahlen. Die Bahn hat eine DNS-Fehlkonfiguration behoben, die zuvor zu merkwürdigen Fehlermeldungen geführt hatte.

  3. Sicherheitsforscher an AV-Hersteller: "Finger weg von HTTPS"

    Sicherheitsforscher an AV-Hersteller: "Finger weg von HTTPS"

    Forscher unter anderem von Google und Mozilla warnen vor den Problemen, die Sicherheitsprodukte verursachen, wenn sie verschlüsselte HTTPS-Verbindungen überwachen. Die Hersteller handelten dabei "fahrlässig".

  4. iOS 10 bringt WLAN-Anrufe aufs iPhone – bei der Telekom

    WLAN Call iPhone

    Kunden des Mobilfunkanbieters bleiben jetzt auch bei fehlender Netzabdeckung unter ihrer Mobilnummer erreichbar, solange eine WLAN-Verbindung besteht.

  1. Verschlüsselung bei heise online

    Verschlüsselung bei heise online

    Ab sofort ermöglicht Heise Medien den Zugriff auf seine Online-Dienste per HTTPS. Das gilt für alle Domains wie heise.de, ct.de oder ix.de.

  2. Zertifikate sperren - so geht's

    Verkehrte Welt – um ein Zertifikat zu sperren, muss man es erst installieren. Mit der folgenden Anleitung für Windows, Firefox, OS X und Linux geht das ohne Risiko und in wenigen Schritten.

  3. Griechenland: Stellt Panoussis James Bond in den Schatten?

    Der ehemalige Bürgerschutzminister beschuldigt Alexis Tsipras, dass dieser Kenntnis über Verbindungen der Regierungspartei SYRIZA zum Terrorismus habe

  1. Galaxy S6 und S7 verlieren im Standby-Modus die Mobilfunkverbindung

    Samsung Galaxy S6

    Die Samsung-Smartphones Galaxy S6 und S7 verlieren die Verbindung mit dem Mobilfunknetz, wenn sie in den Standby-Modus versetzt werden. Das Problem tritt offenbar nach dem Update auf Android 7 auf.

  2. ExoMars: Mars-Sonde Schiaparelli nach Computerfehler abgestürzt

    ExoMars: Mars-Sonde Schiaparelli nach Computerfehler abgestürzt

    Wie bereits vermutet wurde, ist der Mars-Lander Schiaparelli vergangenes Jahr aufgrund eines Softwarefehlers abgestürzt. Das hat nun eine unabhängige Kommission ermittelt. Die Sonde war Teil einer Mission zur Suche nach Spuren von Leben auf dem Mars.

  3. 40 Jahre Star Wars: Das Jubiläum der Macht

    40 Jahre Star Wars: Das Jubiläum der Macht

    A long time ago in a galaxy far, far away … Am 25. Mai 1977 startete die Star-Wars-Saga in den Kinos der Vereinigten Staaten. Doch der Weg zur Macht, nicht vorgegeben er war...

  4. Dehnbare Display-Haut

    Leuchtende Display-Haut

    Samsung zeigt auf der DisplayWeek ein organisches Display mit elastischen Eigenschaften. Damit werden gänzlich neue Gerätedesigns denkbar, die über das lange angekündigte faltbare Display hinausgehen.

Anzeige