Ein Smartcard-Bug lässt jeden kostenlos mit der U-Bahn fahren
Indiens Massenstrom Nahverkehrssysteme – oder U-Bahn, wie es vor Ort genannt wird – verlassen sich auf Pendler-Smartcards, die anfällig für Ausbeutung sind und es jedem ermöglichen, effektiv kostenlos zu reisen.
Sicherheitsforscher Nikhil Kumar Singh entdeckte einen Fehler, der sich auf das Smartcard-System der Delhi Metro auswirkte. Der Forscher sagte gegenüber Tech, dass der Fehler den Aufladeprozess ausnutzt, der es jedem ermöglicht, die Smartcard der U-Bahn so oft aufzuladen, wie er möchte.
Singh sagte gegenüber Tech, er habe den Fehler entdeckt, nachdem er versehentlich eine kostenlose Aufladung seiner U-Bahn-Smartcard mit einem Mehrwertautomaten an einer U-Bahn-Station in Delhi erhalten hatte.
Der Fehler existiert, sagt Singh, weil das U-Bahn-Aufladesystem Zahlungen nicht richtig verifiziert, wenn ein Reisender seine U-Bahn-Smartcard mit einem Stations-Mehrwertautomaten auflädt. Er sagte, dass das Fehlen von Schecks bedeutet, dass eine Chipkarte dazu gebracht werden kann, zu glauben, dass sie aufgeladen wurde, selbst wenn der Mehrwertautomat sagt, dass der Kauf fehlgeschlagen ist. Eine Zahlung wird in diesem Fall als ausstehend markiert und anschließend zurückerstattet, sodass die Person tatsächlich kostenlos mit der U-Bahn fahren kann.
„Ich habe es auf dem System der Delhi Metro ausprobiert und konnte es kostenlos aufladen“, sagte Singh gegenüber Tech. „Ich muss immer noch eine Aufladung veranlassen, indem ich mit PhonePe oder Paytm bezahle, aber da die Aufladung noch aussteht, wird sie nach 30 Tagen zurückerstattet. Deshalb ist es technisch kostenlos“, sagte er.
Singh teilte Tech ein Proof-of-Concept-Video mit, das er im Februar aufgenommen hatte und das zeigt, wie eine Smartcard dazu gebracht werden kann, den Wert einer Delhi Metro-Karte zu erhöhen. Nach besserem Verständnis des Fehlers, der Forscher ausgestreckt einen Tag später an die Delhi Metro Rail Corporation (DMRC). Als Antwort bat das DMRC Singh, die Details des Fehlers per E-Mail zu teilen, was er tat, zusammen mit einem technischen Bericht und einer Protokolldatei, die den Fehler in Aktion demonstriert, die Tech gesehen hat. Am 16. März erhielt Singh eine Standardantwort, in der er den Erhalt seiner E-Mail bestätigte, erhielt jedoch keine weiteren Antworten.
Singh sagte Tech, dass das Problem, das nicht behoben wurde, in den Smartcards selbst besteht. Delhi Metro setzt auf MiFare DESFire EV1 Smartcards des niederländischen Chipherstellers NXP Semiconductors. Andere U-Bahn-Systeme, einschließlich Bengaluru, werden ebenfalls verwendet das gleiche Chipkartensystem.
„Wenn die technische Infrastruktur in anderen staatlichen U-Bahnen dieselbe ist, dann wird dieser Fehler auch dort funktionieren“, sagte Singh gegenüber Tech.
Es ist nicht das erste Mal, dass Sicherheitsforscher Probleme mit Smartcards derselben Marke feststellen. Vergangene Forschung gefunden ähnliche Schwachstellen, die dieselben DESFire EV1-Smartcards betreffen, die die Delhi Metro verwendet, sowie andere Europäische Nahverkehrssysteme. 2020 MiFare eingeführt der DESFire EV3 als seine kontaktlose Lösung mit besserer Sicherheit.
Singh schlug vor, dass der Smartcard-Fehler behoben werden könnte, wenn die U-Bahn-Systeme auf DESFire EV3-Karten migrieren.
Drei DMRC-Sprecher beantworteten mehrere E-Mails mit der Bitte um Stellungnahme nicht. Ein Sprecher von NXP (über die Agentur) konnte zum Zeitpunkt der Veröffentlichung keinen Kommentar abgeben. Die Bengaluru Metro Rail Corporation, die für den U-Bahn-Service der Stadt verantwortliche Stelle, äußerte sich ebenfalls nicht.