• IT-Karriere:
  • Services:

Warnung vor Hashwert-Lösung ignoriert

Dalheimer wies Compleo schon Anfang Dezember 2019 darauf hin, dass die gewählte Lösung mit den Hashwerten nicht besonders sicher ist. Dennoch hält das Unternehmen mit dem Segen der PTB an dem Konzept fest. Das Hashverfahren können Angreifer leicht herausfinden. Denn inzwischen wird direkt der Hashwert der UID angezeigt, wenn man eine Ladesäule freischalten will. Dabei gilt das gewählte Verfahren an sich noch als einigermaßen sicher. Angesichts des begrenzten Zeichenraums, der gehasht werden kann, ist es aber relativ leicht zu cracken.

Stellenmarkt
  1. Madsack PersonalManagement GmbH, Hannover
  2. EUROBAUSTOFF Handelsgesellschaft mbH & Co. KG, Karlsruhe

Ohnehin stellt sich die Frage, warum die PTB das Konzept mit der UID-Anzeige im Juli 2018 überhaupt genehmigt hat. Denn das führt am Ende nur dazu, dass die ohnehin unsichere UID noch häufiger in Dokumenten wie Rechnungen aufgeführt werden muss. Kurioserweise tauchte diese UID etwa in Rechnungen des Roaming-Anbieters Plugsurfing bislang gar nicht auf. Dort wurde lediglich der sogenannte Ladeschlüssel genannt, der aus der Kombination "DE*8PS*" und einer siebenstelligen Buchstaben-Zahl-Kombination besteht.

Unsicherer Versand, langwierige Deaktivierung

Auf die Anfrage von Golem.de, ob die Rechnung nicht auch die vom Anzeigemodul angegebene UID enthalten müsse, antwortete Projektmanagerin Teresa Brügmann: "Wir stellen unser Rechnungssystem derzeit um, um den Anforderungen der Eichrechtskonformität bei der Weiterverwendung der Messwerte gerecht zu werden. (...) Ich werde den Fall mit unserem IT-Team abklären und veranlassen, dass sowohl der alphanumerische Ladeschlüssel und die hexadezimale UID angezeigt werden, damit sich die Überprüfung umsetzen lässt." Nun müsste die Rechnung nicht mehr die UID, sondern nur noch deren Hashwert enthalten, damit sich der Ladevorgang an der Säule nachträglich überprüfen lässt.

Allerdings geht Plugsurfing beim Versand der Ladechips weiterhin nachlässig mit der Sicherheit um. So werden die Tags in ungeschützten Briefen verschickt, so dass jeder Postbote mit einem NFC-fähigen Smartphone die UID auslesen könnte. Angesichts des absurden Aufwands, der inzwischen beim Online-Banking mit der Authentifizierung betrieben wird, sind die Sicherheitsvorkehrungen bei Ladekarten praktisch nicht vorhanden. Da Ladevorgänge inzwischen sehr teuer werden können, ist das Missbrauchspotenzial seit Dalheimers Vortrag eher gestiegen.

Lücke laut Allego noch nicht ausgenutzt

Ebenfalls schwierig scheint der Deaktivierungsprozess der Ladekarten zu sein. So wurde eine Ladekarte von Plugsurfing erst dann deaktiviert, nachdem wir zehn Tage nach der ersten Aufforderung nachgefragt haben, warum noch nichts im System passiert war. Selbst nachdem die Karte schließlich im Account gelöscht war, ließ sie sich weiterhin nutzen. Zwei Wochen später ließen sich damit noch problemlos Ladevorgänge starten.

Ob die Lücke bei den Anzeigemodulen bereits ausgenutzt wurde, ist unklar. Angesichts der Zahl von rund 170 Mobilitätsdienstleistern, die beispielsweise die Ladesäulen von Allego nutzen, ist eine entsprechende Recherche kaum möglich. Laut Allego ist noch kein Missbrauch mit geklonten Karten bekanntgeworden.

Doch wann kommt endlich eine sichere Lösung?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Funktionsfähige Klone leicht zu erstellenKeine kurzfristige Lösung zu erwarten 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Hardware-Angebote
  1. ab 2.174€

XxXXXxxXxx 02. Mär 2020

Das System der Authentifizierung basiert auf Mifare Classic? Wann wurde das Ladesäulen...

ahzf 27. Feb 2020

Die 15118 ist Kryptoflickwerk mit Konzepten die schon vor 10 Jahren veraltet waren...

ahzf 27. Feb 2020

So funktioniert das auch bei ordentlichen Ladestationsbetreibern. Unordentliche kopieren...

DooMMasteR 26. Feb 2020

mache ROMs, ja wie die des Nexus 5, Pixel 1, 3, Oneplus 3, Oneplus One, Mi 8 und A3, mehr...

mke2fs 26. Feb 2020

Das frage ich mich auch. Die Ladesäulen in unserer Region haben oftmals nicht mal ein...


Folgen Sie uns
       


Linux-Smartphone Pinephone im Test

Das Pinephone ist das erste echte Linux-Smartphone seit rund 5 Jahren und dazu noch von einer Community erstellt. Das ambitionierte Projekt scheitert letztlich aber an der Realität.

Linux-Smartphone Pinephone im Test Video aufrufen
    •  /