Warnung vor Hashwert-Lösung ignoriert

Dalheimer wies Compleo schon Anfang Dezember 2019 darauf hin, dass die gewählte Lösung mit den Hashwerten nicht besonders sicher ist. Dennoch hält das Unternehmen mit dem Segen der PTB an dem Konzept fest. Das Hashverfahren können Angreifer leicht herausfinden. Denn inzwischen wird direkt der Hashwert der UID angezeigt, wenn man eine Ladesäule freischalten will. Dabei gilt das gewählte Verfahren an sich noch als einigermaßen sicher. Angesichts des begrenzten Zeichenraums, der gehasht werden kann, ist es aber relativ leicht zu cracken.

Stellenmarkt
  1. Solution Architect Infrastructure (m/w/d)
    HABA Group B.V. & Co. KG, Bad Rodach
  2. System Administrator Infrastructure (m/f/d)
    CETITEC GmbH, Pforzheim
Detailsuche

Ohnehin stellt sich die Frage, warum die PTB das Konzept mit der UID-Anzeige im Juli 2018 überhaupt genehmigt hat. Denn das führt am Ende nur dazu, dass die ohnehin unsichere UID noch häufiger in Dokumenten wie Rechnungen aufgeführt werden muss. Kurioserweise tauchte diese UID etwa in Rechnungen des Roaming-Anbieters Plugsurfing bislang gar nicht auf. Dort wurde lediglich der sogenannte Ladeschlüssel genannt, der aus der Kombination "DE*8PS*" und einer siebenstelligen Buchstaben-Zahl-Kombination besteht.

Unsicherer Versand, langwierige Deaktivierung

Auf die Anfrage von Golem.de, ob die Rechnung nicht auch die vom Anzeigemodul angegebene UID enthalten müsse, antwortete Projektmanagerin Teresa Brügmann: "Wir stellen unser Rechnungssystem derzeit um, um den Anforderungen der Eichrechtskonformität bei der Weiterverwendung der Messwerte gerecht zu werden. (...) Ich werde den Fall mit unserem IT-Team abklären und veranlassen, dass sowohl der alphanumerische Ladeschlüssel und die hexadezimale UID angezeigt werden, damit sich die Überprüfung umsetzen lässt." Nun müsste die Rechnung nicht mehr die UID, sondern nur noch deren Hashwert enthalten, damit sich der Ladevorgang an der Säule nachträglich überprüfen lässt.

Allerdings geht Plugsurfing beim Versand der Ladechips weiterhin nachlässig mit der Sicherheit um. So werden die Tags in ungeschützten Briefen verschickt, so dass jeder Postbote mit einem NFC-fähigen Smartphone die UID auslesen könnte. Angesichts des absurden Aufwands, der inzwischen beim Online-Banking mit der Authentifizierung betrieben wird, sind die Sicherheitsvorkehrungen bei Ladekarten praktisch nicht vorhanden. Da Ladevorgänge inzwischen sehr teuer werden können, ist das Missbrauchspotenzial seit Dalheimers Vortrag eher gestiegen.

Lücke laut Allego noch nicht ausgenutzt

Golem Akademie
  1. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    23.-25.05.2022, Virtuell
  2. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    11./12.07.2022, Virtuell
Weitere IT-Trainings

Ebenfalls schwierig scheint der Deaktivierungsprozess der Ladekarten zu sein. So wurde eine Ladekarte von Plugsurfing erst dann deaktiviert, nachdem wir zehn Tage nach der ersten Aufforderung nachgefragt haben, warum noch nichts im System passiert war. Selbst nachdem die Karte schließlich im Account gelöscht war, ließ sie sich weiterhin nutzen. Zwei Wochen später ließen sich damit noch problemlos Ladevorgänge starten.

Ob die Lücke bei den Anzeigemodulen bereits ausgenutzt wurde, ist unklar. Angesichts der Zahl von rund 170 Mobilitätsdienstleistern, die beispielsweise die Ladesäulen von Allego nutzen, ist eine entsprechende Recherche kaum möglich. Laut Allego ist noch kein Missbrauch mit geklonten Karten bekanntgeworden.

Doch wann kommt endlich eine sichere Lösung?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Funktionsfähige Klone leicht zu erstellenKeine kurzfristige Lösung zu erwarten 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


XxXXXxxXxx 02. Mär 2020

Das System der Authentifizierung basiert auf Mifare Classic? Wann wurde das Ladesäulen...

ahzf 27. Feb 2020

Die 15118 ist Kryptoflickwerk mit Konzepten die schon vor 10 Jahren veraltet waren...

ahzf 27. Feb 2020

So funktioniert das auch bei ordentlichen Ladestationsbetreibern. Unordentliche kopieren...

DooMMasteR 26. Feb 2020

mache ROMs, ja wie die des Nexus 5, Pixel 1, 3, Oneplus 3, Oneplus One, Mi 8 und A3, mehr...



Aktuell auf der Startseite von Golem.de
Kitty Lixo
Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten

Laut einer Sexdarstellerin muss man nur die richtigen Leute bei Facebook sehr intim kennen, um seinen Instagram-Account immer wieder zurückzubekommen.

Kitty Lixo: Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten
Artikel
  1. Ebay-Kleinanzeigen: Im Chat mit den Phishing-Betrügern
    Ebay-Kleinanzeigen
    Im Chat mit den Phishing-Betrügern

    Wenn man bestimmte Anzeigen in Kleinanzeigenportalen aufgibt, hat man sofort einen Betrüger an der Backe. Die Polizei kann kaum etwas dagegen tun.
    Ein Bericht von Friedhelm Greis

  2. Autos: Mercedes' Luxuskurs könnte das Aus für A- und B-Klasse sein
    Autos
    Mercedes' Luxuskurs könnte das Aus für A- und B-Klasse sein

    Mercedes definiert sich neu als Luxuskonzern. Das könnte auch das Ende für die Einsteiger-Modelle bedeuten, weil mit diesen kaum Geld zu verdienen ist.

  3. Ericsson und Telia Norway: Fast 4 GBit/s in 26-GHz-Netz erreicht
    Ericsson und Telia Norway
    Fast 4 GBit/s in 26-GHz-Netz erreicht

    26-GHz-Netz-Antennen erreichen in Norwegen Höchstwerte bei der Datenübertragung. Die 5G-Ausrüstung kommt von Ericsson.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 87€ Rabatt auf SSDs • PNY RTX 3080 12GB günstig wie nie: 974€ • Razer Basilisk V3 Gaming-Maus 44,99€ • PS5-Controller + Samsung SSD 1TB 176,58€ • MindStar (u. a. MSI RTX 3090 24GB Suprim X 1.790€) • Gigabyte Waterforce Mainboard günstig wie nie: 464,29€ [Werbung]
    •  /