Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Jürgen Schmidt 165

Vorsicht beim Shoppen im Zug: WIFIonICE manipuliert PayPal Update

Vorsicht beim Shoppen in der Bahn - WIFIonICE kapert PayPal

Das kostenlose Funknetz der Bahn verhindert eine gesicherte Verbindung zum Bezahldienstleister PayPal und liefert dabei ein dubioses Zertifikat. Andere HTTPS-Verbindungen sind anscheinend nicht betroffen.

Seit einiger Zeit bietet die Deutsche Bahn in ausgewählten ICE-Zügen kostenloses WLAN unter dem Namen WIFIonICE an. In den vergangenen Tagen berichteten mehrere Leser heise Security, dass ihre gesicherten Verbindungen zu PayPal im WLAN der Bahn seltsame Fehlermeldungen lieferten. Da das die Sicherheit von Bezahlvorgängen betrifft, klingt das sehr dubios und vielleicht sogar gefährlich. Wir konnten das Phänomen selbst in einem ICE nachvollziehen.

HTTPS soll nicht nur die übertragenen Daten verschlüsseln, sondern auch sicherstellen, dass die am anderen Ende beim richtigen Empfänger ankommen. Das ging bei einem Kurztest auf dem Notebook gründlich schief: Statt der erwarteten HTTPS-gesicherten Verbindung zu Paypal zeigte der Web-Browser eine Fehlermeldung, dass die Verbindung nicht sicher sei, weil der Name des Servers nicht stimme.

Wie das Zertifikat von Maersk Line in die HTTPS-Verbindung zu PayPal kommt, ist ein Rätsel. Das Phänomen trat nur im WIFIonICE auf.
Wie das Zertifikat von Maersk Line in die HTTPS-Verbindung zu PayPal kommt, ist ein Rätsel. Das Phänomen trat nur im WIFIonICE auf. Vergrößern

Eine genauere Inspektion des Zertifikats zeigte dann auch, dass es von Symantec im Januar für ein dänisches Logistik-Unternehmen namens Maersk Line ausgestellt wurde. Der sogenannte Common Name des Zertifikats lautet apid.maerskline.com – das klingt nach einem Firmen-WLAN. Wie das in die HTTPS-Verbindung zu Paypal geraten konnte, ist ein Rätsel, das wohl nur die Deutsche Bahn auflösen kann. Insbesondere weil der Gegentest mit diversen anderen HTTPS-Seiten nichts ergab: Facebook, heise online und einige Banken-Seiten luden völlig normal. Und nach dem Umschalten von Bahn-WLAN auf Mobilfunk (LTE-Tethering) begrüßte uns auch PayPal wieder mit dem grünen Schloss. Safari öffnet klaglos eine angeblich sichere Verbindung zu PayPal.
Safari öffnet klaglos eine angeblich sichere Verbindung zu PayPal. Vergrößern

Seltsames iPhone-Verhalten

Noch rätselhafter wurde es jedoch beim Gegencheck auf dem Smartphone. Dort zeigte der iPhone-Browser Safari im WIFIonICE die angeblich sichere HTTPS-Paypal-Seite an. Leider erlaubt es Apple dem Anwender nicht, das angelieferte Zertifikat zu prüfen. So kann es sein, dass das WLAN der Bahn die iPhone/Safari-Verbindung tatsächlich unangetastet lässt. Oder Safari ignoriert das falsche Zertifikat aus welchen Gründen auch immer. Ein Test mit Chrome auf dem gleichen iPhone erbrachte jedenfalls wieder einen SSL-Fehler. Allerdings verhält sich Chrome bei HTTPS/TLS und Zertifikaten manchmal auch päpstlicher als der Papst.

Ursachenforschung

Antiviren-Software beziehungsweise Internet-Security-Suiten klinken sich öfter in HTTPS-Verbindungen ein, um Downloads und Web-Seiten auf mögliche Gefahren zu untersuchen. Weder das Notebook noch das iPhone hatten jedoch derartige Schutz-Software. Angesichts der unabhängigen Berichte über Zertifikatsfehlern bei Lesern, die in anderen Zügen saßen, steht fest, dass im WLAN der Deutschen Bahn seltsame Dinge passieren. Chrome hingegen beschwert sich auf dem gleichen iPhone über einen SSL-Fehler.
Chrome hingegen beschwert sich auf dem gleichen iPhone über einen SSL-Fehler. Vergrößern

In Firmennetzen ist es durchaus üblich, dass sich – in Absprache mit den Mitarbeitern und mit entsprechenden Vorkehrungen, um Zertifikatsfehler zu vermeiden – etwa Intrusion Detection Systeme in HTTPS-Verbindungen einklinken. Das kann in diesem Fall jedoch ausgeschlossen werden. Ein öffentliches WLAN sollte HTTPS-Verbindungen unangetastet lassen. Das weiß eigentlich auch die Bahn, die in ihrer WIFIonICE-Beschreibung erklärt:

Um eine sichere Übertragung zu gewährleisten, empfehlen wir Ihnen das WLAN-Angebot im ICE über eine VPN-Verbindung zu nutzen oder nur Webseiten mit dem Zusatz „https://“ zu besuchen.

Schon wegen des Zertifikatsfehlers erscheint jedoch ein echter Angriff recht unwahrscheinlich. Eher schon könnte es sein, dass etwa auf Grund einer Fehlkonfiguration im DNS die Verbindung zu einem falschen Server umgeleitet wird (was ich dummerweise nicht mehr getestet habe). Wir werden dem jedoch weiter nachgehen und haben bei der Deutschen Bahn bereits nachgefragt, was da passiert. Bis die das Rätsel auflöst, sollten Sie lieber keine Bezahlvorgänge oder andere wirklich wichtige Dinge im WIFIonICE der Bahn tätigen.

Update 19.05.2017, 18:00 Uhr

Ein zugfahrender Leser hat weiter nachgeforscht und festgestellt, dass im WIFIonICE der Name www.paypal.com zu einem Content-Delivery-Server von Akamai mit der IP-Adresse 23.46.119.241 aufgelöst wird. Ein Sprecher der Deutschen Bahn erklärte gegenüber heise Security unterdessen: "Wir haben den Fehler nachvollziehen können und arbeiten daran, ihn schnellstmöglich zu beheben."

Update 22.05.2017, 16:07 Uhr

Die Bahn hat den Fehler mittlerweile behoben. (ju)

165 Kommentare

Themen:

Anzeige
  1. GlobalSign annulliert versehentlich Zertifikate von vielen Webseiten

    GlobalSign annulliert versehentlich Zertifikate von vielen Webseiten

    Aktuell warnen einige Webbrowser davor, dass Verbindungen zu Webseiten wie etwa Wikipedia nicht mehr gesichert sind, da mit dem Zertifikat der Seite etwas nicht stimmt.

  2. WIFIonICE: CCC warnt vor anhaltendem Sicherheitsproblem beim Bahn-WLAN

    WIFIonICE: CCC warnt vor anhaltendem Sicherheitsproblem beim Bahn-WLAN

    Die Deutsche Bahn erlaube es Angreifern noch immer, über ihre Hotpots im ICE Informationen über Nutzer zu sammeln. Dazu gehöre deren Standort, die MAC-Adresse von Endgeräten oder das genutzte Datenvolumen, beklagt der Hackerverein.

  3. Bahn beseitigt DNS-Fehler: Paypal wieder über WIFIonICE benutzbar

    Bahn beseitigt DNS-Fehler: Paypal wieder über WIFIonICE benutzbar

    Kunden der Deutschen Bahn können im ICE nun auch wieder mit Paypal bezahlen. Die Bahn hat eine DNS-Fehlkonfiguration behoben, die zuvor zu merkwürdigen Fehlermeldungen geführt hatte.

  4. Sicherheitsforscher an AV-Hersteller: "Finger weg von HTTPS"

    Sicherheitsforscher an AV-Hersteller: "Finger weg von HTTPS"

    Forscher unter anderem von Google und Mozilla warnen vor den Problemen, die Sicherheitsprodukte verursachen, wenn sie verschlüsselte HTTPS-Verbindungen überwachen. Die Hersteller handelten dabei "fahrlässig".

  1. Paypal: Wie sicher ist das Bezahlen im Internet?

    Wie sicher ist eigentlich Paypal? Wir erklären dir, was du beim Bezahlen im Internet beachten musst.

  2. Verschlüsselung bei heise online

    Verschlüsselung bei heise online

    Ab sofort ermöglicht Heise Medien den Zugriff auf seine Online-Dienste per HTTPS. Das gilt für alle Domains wie heise.de, ct.de oder ix.de.

  3. Zertifikate sperren - so geht's

    Verkehrte Welt – um ein Zertifikat zu sperren, muss man es erst installieren. Mit der folgenden Anleitung für Windows, Firefox, OS X und Linux geht das ohne Risiko und in wenigen Schritten.

  1. Missing Link: Facebook weiß es nicht besser

    Open Compute Project: OCP-Server bei Facebook in Lulea

    Während die deutschen Wähler hoffentlich zahlreich zu den Wahllokalen gehen, muss sich Facebook inzwischen in der Heimat USA harten Fragen stellen. Wie weit hat der Konzern zum Wahlsieg Donald Trumps beigetragen?

  2. Vertuschung 2.0: Im Fall Amri erlebt man dieselben Methoden wie beim NSU-Skandal

    Der Untersuchungsausschuss in Berlin ist mit massiven Widerständen seitens der Polizei konfrontiert

  3. c't uplink 18.9: Das Auto von morgen, Hybridradios, Vorsicht Kunde!

    c't uplink 18.8: Galaxy Note 8, Windows härten, Tuxedo Linux-Notebook

    Heute in c't uplink diskutieren wir über die Zukunft des Autos. Wir haben Hybridradios mit FM, DAB+ und Internet getestet, und Georg Schnurer zeigt uns einen besonders ekligen Fall von "Vorsicht, Kunde!".

  4. Proteste in London gegen Rausschmiss von Uber

    Bestätigungsdialog "Delete Uber?"

    In London regt sich massiver Protest gegen die Schließung des Fahrdienstes. Mehrere Hunderttausend haben bereits eine Pro-Uber-Petition unterzeichnet.

Anzeige