• IT-Karriere:
  • Services:

Warnung vor Hashwert-Lösung ignoriert

Dalheimer wies Compleo schon Anfang Dezember 2019 darauf hin, dass die gewählte Lösung mit den Hashwerten nicht besonders sicher ist. Dennoch hält das Unternehmen mit dem Segen der PTB an dem Konzept fest. Das Hashverfahren können Angreifer leicht herausfinden. Denn inzwischen wird direkt der Hashwert der UID angezeigt, wenn man eine Ladesäule freischalten will. Dabei gilt das gewählte Verfahren an sich noch als einigermaßen sicher. Angesichts des begrenzten Zeichenraums, der gehasht werden kann, ist es aber relativ leicht zu cracken.

Stellenmarkt
  1. ADMIRAL ENTERTAINMENT GmbH, Bingen
  2. Allianz Partners Deutschland GmbH, Aschheim

Ohnehin stellt sich die Frage, warum die PTB das Konzept mit der UID-Anzeige im Juli 2018 überhaupt genehmigt hat. Denn das führt am Ende nur dazu, dass die ohnehin unsichere UID noch häufiger in Dokumenten wie Rechnungen aufgeführt werden muss. Kurioserweise tauchte diese UID etwa in Rechnungen des Roaming-Anbieters Plugsurfing bislang gar nicht auf. Dort wurde lediglich der sogenannte Ladeschlüssel genannt, der aus der Kombination "DE*8PS*" und einer siebenstelligen Buchstaben-Zahl-Kombination besteht.

Unsicherer Versand, langwierige Deaktivierung

Auf die Anfrage von Golem.de, ob die Rechnung nicht auch die vom Anzeigemodul angegebene UID enthalten müsse, antwortete Projektmanagerin Teresa Brügmann: "Wir stellen unser Rechnungssystem derzeit um, um den Anforderungen der Eichrechtskonformität bei der Weiterverwendung der Messwerte gerecht zu werden. (...) Ich werde den Fall mit unserem IT-Team abklären und veranlassen, dass sowohl der alphanumerische Ladeschlüssel und die hexadezimale UID angezeigt werden, damit sich die Überprüfung umsetzen lässt." Nun müsste die Rechnung nicht mehr die UID, sondern nur noch deren Hashwert enthalten, damit sich der Ladevorgang an der Säule nachträglich überprüfen lässt.

Allerdings geht Plugsurfing beim Versand der Ladechips weiterhin nachlässig mit der Sicherheit um. So werden die Tags in ungeschützten Briefen verschickt, so dass jeder Postbote mit einem NFC-fähigen Smartphone die UID auslesen könnte. Angesichts des absurden Aufwands, der inzwischen beim Online-Banking mit der Authentifizierung betrieben wird, sind die Sicherheitsvorkehrungen bei Ladekarten praktisch nicht vorhanden. Da Ladevorgänge inzwischen sehr teuer werden können, ist das Missbrauchspotenzial seit Dalheimers Vortrag eher gestiegen.

Lücke laut Allego noch nicht ausgenutzt

Ebenfalls schwierig scheint der Deaktivierungsprozess der Ladekarten zu sein. So wurde eine Ladekarte von Plugsurfing erst dann deaktiviert, nachdem wir zehn Tage nach der ersten Aufforderung nachgefragt haben, warum noch nichts im System passiert war. Selbst nachdem die Karte schließlich im Account gelöscht war, ließ sie sich weiterhin nutzen. Zwei Wochen später ließen sich damit noch problemlos Ladevorgänge starten.

Ob die Lücke bei den Anzeigemodulen bereits ausgenutzt wurde, ist unklar. Angesichts der Zahl von rund 170 Mobilitätsdienstleistern, die beispielsweise die Ladesäulen von Allego nutzen, ist eine entsprechende Recherche kaum möglich. Laut Allego ist noch kein Missbrauch mit geklonten Karten bekanntgeworden.

Doch wann kommt endlich eine sichere Lösung?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Funktionsfähige Klone leicht zu erstellenKeine kurzfristige Lösung zu erwarten 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. (-83%) 9,99€
  2. 31,49€
  3. (-55%) 26,99€

XxXXXxxXxx 02. Mär 2020

Das System der Authentifizierung basiert auf Mifare Classic? Wann wurde das Ladesäulen...

ahzf 27. Feb 2020

Die 15118 ist Kryptoflickwerk mit Konzepten die schon vor 10 Jahren veraltet waren...

ahzf 27. Feb 2020

So funktioniert das auch bei ordentlichen Ladestationsbetreibern. Unordentliche kopieren...

DooMMasteR 26. Feb 2020

mache ROMs, ja wie die des Nexus 5, Pixel 1, 3, Oneplus 3, Oneplus One, Mi 8 und A3, mehr...

mke2fs 26. Feb 2020

Das frage ich mich auch. Die Ladesäulen in unserer Region haben oftmals nicht mal ein...


Folgen Sie uns
       


Xiaomi Mi 10 Pro - Test

Das Mi 10 Pro ist Xiaomis jüngstes Top-Smartphone. Im Test überzeugt vor allem die Kamera.

Xiaomi Mi 10 Pro - Test Video aufrufen
DSGVO: Nicht weniger als Staatsversagen
DSGVO
Nicht weniger als Staatsversagen

Unterfinanziert und wirkungslos - so zeigen sich die europäischen Datenschutzbehörden nach zwei Jahren DSGVO gegenüber Konzernen wie Google und Facebook.
Eine Analyse von Christiane Schulzki-Haddouti

  1. DSGVO Proton vergisst Git-Zugang auf Datenschutzwebseite
  2. DSGVO Iren sollen Facebook an EU-Datenschützer abgeben
  3. Datenschutz Rechtsanwaltskanzlei zählt 160.000 DSGVO-Verstöße

Realme X50 Pro im Test: Der Oneplus-Killer
Realme X50 Pro im Test
Der Oneplus-Killer

Oneplus bezeichnete sich einst als "Flagship-Killer", mittlerweile stellt sich die Frage, wer hier für wen gefährlich wird: Das X50 Pro des Schwesterunternehmens Realme ist ein wahrer "Oneplus-Killer".
Ein Test von Tobias Költzsch

  1. Astro Slide Neues 5G-Smartphone mit aufschiebbarer Tastatur
  2. Galaxy S20 Ultra im Test Samsung beherrscht den eigenen Kamerasensor nicht
  3. Red Magic 5G Neues 5G-Gaming-Smartphone kommt mit 144-Hz-Display

Corona: Japans Krankenhäuser steigen endlich von Fax auf E-Mail um
Corona
Japans Krankenhäuser steigen endlich von Fax auf E-Mail um

In Japan löst die Coronakrise einen Modernisierungsschub aus. Den Ärzten in den Krankenhäusern fehlt die Zeit für das manuelle Ausfüllen von Formularen.
Ein Bericht von Felix Lill

  1. Corona IFA 2020 findet doch als physisches Event statt
  2. Corona Pariser Polizei darf keine Drohnen zur Überwachung verwenden
  3. Coronapandemie Wie wir fliegen werden

    •  /