Warnung vor Hashwert-Lösung ignoriert

Dalheimer wies Compleo schon Anfang Dezember 2019 darauf hin, dass die gewählte Lösung mit den Hashwerten nicht besonders sicher ist. Dennoch hält das Unternehmen mit dem Segen der PTB an dem Konzept fest. Das Hashverfahren können Angreifer leicht herausfinden. Denn inzwischen wird direkt der Hashwert der UID angezeigt, wenn man eine Ladesäule freischalten will. Dabei gilt das gewählte Verfahren an sich noch als einigermaßen sicher. Angesichts des begrenzten Zeichenraums, der gehasht werden kann, ist es aber relativ leicht zu cracken.

Stellenmarkt
  1. (Junior) System Engineer (m/w/d) Information Security
    Controlware GmbH, Meerbusch
  2. Bioinformatiker (m/w/d) für die Projektleitung »Whole Genome Sequencing«
    MVZ Martinsried GmbH, Planegg-Martinsried
Detailsuche

Ohnehin stellt sich die Frage, warum die PTB das Konzept mit der UID-Anzeige im Juli 2018 überhaupt genehmigt hat. Denn das führt am Ende nur dazu, dass die ohnehin unsichere UID noch häufiger in Dokumenten wie Rechnungen aufgeführt werden muss. Kurioserweise tauchte diese UID etwa in Rechnungen des Roaming-Anbieters Plugsurfing bislang gar nicht auf. Dort wurde lediglich der sogenannte Ladeschlüssel genannt, der aus der Kombination "DE*8PS*" und einer siebenstelligen Buchstaben-Zahl-Kombination besteht.

Unsicherer Versand, langwierige Deaktivierung

Auf die Anfrage von Golem.de, ob die Rechnung nicht auch die vom Anzeigemodul angegebene UID enthalten müsse, antwortete Projektmanagerin Teresa Brügmann: "Wir stellen unser Rechnungssystem derzeit um, um den Anforderungen der Eichrechtskonformität bei der Weiterverwendung der Messwerte gerecht zu werden. (...) Ich werde den Fall mit unserem IT-Team abklären und veranlassen, dass sowohl der alphanumerische Ladeschlüssel und die hexadezimale UID angezeigt werden, damit sich die Überprüfung umsetzen lässt." Nun müsste die Rechnung nicht mehr die UID, sondern nur noch deren Hashwert enthalten, damit sich der Ladevorgang an der Säule nachträglich überprüfen lässt.

Allerdings geht Plugsurfing beim Versand der Ladechips weiterhin nachlässig mit der Sicherheit um. So werden die Tags in ungeschützten Briefen verschickt, so dass jeder Postbote mit einem NFC-fähigen Smartphone die UID auslesen könnte. Angesichts des absurden Aufwands, der inzwischen beim Online-Banking mit der Authentifizierung betrieben wird, sind die Sicherheitsvorkehrungen bei Ladekarten praktisch nicht vorhanden. Da Ladevorgänge inzwischen sehr teuer werden können, ist das Missbrauchspotenzial seit Dalheimers Vortrag eher gestiegen.

Lücke laut Allego noch nicht ausgenutzt

Golem Akademie
  1. C++ 20: Concepts - Ranges - Coroutinen - Module
    4.-8. Oktober 2021, online
  2. Data Engineering mit Apache Spark
    27.-28. September 2021, online
Weitere IT-Trainings

Ebenfalls schwierig scheint der Deaktivierungsprozess der Ladekarten zu sein. So wurde eine Ladekarte von Plugsurfing erst dann deaktiviert, nachdem wir zehn Tage nach der ersten Aufforderung nachgefragt haben, warum noch nichts im System passiert war. Selbst nachdem die Karte schließlich im Account gelöscht war, ließ sie sich weiterhin nutzen. Zwei Wochen später ließen sich damit noch problemlos Ladevorgänge starten.

Ob die Lücke bei den Anzeigemodulen bereits ausgenutzt wurde, ist unklar. Angesichts der Zahl von rund 170 Mobilitätsdienstleistern, die beispielsweise die Ladesäulen von Allego nutzen, ist eine entsprechende Recherche kaum möglich. Laut Allego ist noch kein Missbrauch mit geklonten Karten bekanntgeworden.

Doch wann kommt endlich eine sichere Lösung?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Funktionsfähige Klone leicht zu erstellenKeine kurzfristige Lösung zu erwarten 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Aktuell auf der Startseite von Golem.de
PC-Hardware
Grafikkarten werden günstiger und besser verfügbar

Die Preise für Grafikkarten sind zuletzt gesunken, es gibt mehr Pixelbeschleuniger auf Lager. Das hat mehrere Gründe.

PC-Hardware: Grafikkarten werden günstiger und besser verfügbar
Artikel
  1. Razer Blade 14 im Test: Der dreifach einzigartige Ryzen-Laptop
    Razer Blade 14 im Test
    Der dreifach einzigartige Ryzen-Laptop

    Kompakter und flotter: Das Razer Blade 14 soll die Stärken des Urmodells mit der Performance aktueller Hardware vereinen - mit Erfolg.
    Ein Test von Marc Sauter

  2. Bundesdruckerei: Pilotbetrieb für digitale Schulzeugnisse gestartet
    Bundesdruckerei
    Pilotbetrieb für digitale Schulzeugnisse gestartet

    Das digitale Schulzeugnis soll vieles einfacher und sicherer machen, zunächst gehen drei Bundesländer mit IT-Experten in die Erprobung.

  3. Oberleitungs-Lkw: Herr Gramkow will möglichst weit elektrisch fahren
    Oberleitungs-Lkw
    Herr Gramkow will möglichst weit elektrisch fahren

    Seit anderthalb Jahren fährt ein Lkw auf der A1 elektrisch an einer Oberleitung. Wir haben die Spedition besucht, die ihn einsetzt.
    Ein Bericht von Werner Pluta

XxXXXxxXxx 02. Mär 2020

Das System der Authentifizierung basiert auf Mifare Classic? Wann wurde das Ladesäulen...

ahzf 27. Feb 2020

Die 15118 ist Kryptoflickwerk mit Konzepten die schon vor 10 Jahren veraltet waren...

ahzf 27. Feb 2020

So funktioniert das auch bei ordentlichen Ladestationsbetreibern. Unordentliche kopieren...

DooMMasteR 26. Feb 2020

mache ROMs, ja wie die des Nexus 5, Pixel 1, 3, Oneplus 3, Oneplus One, Mi 8 und A3, mehr...

mke2fs 26. Feb 2020

Das frage ich mich auch. Die Ladesäulen in unserer Region haben oftmals nicht mal ein...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Creative SB Z 69,99€ • SanDisk microSDXC 400 GB 39€ • Battlefield 4 Premium PC Code 7,49€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals [Werbung]
    •  /