Hintergründe des Packstation-Hacks

Mit gefälschter Kundenkarte und einer App konnten Angreifer DHL-Packstationen übernehmen. c't hat die Lücke nachvollzogen und zeigt, warum der Hack bis vor kurzem so leicht war.

In Pocket speichern vorlesen Druckansicht 13 Kommentare lesen
Hintergründe des Packstation-Hacks
Lesezeit: 6 Min.
Von
  • Ronald Eikenberg
Inhaltsverzeichnis

Vor- und Rückseite der DHL-Kundenkarte: Bei diesem Exemplar hat das Hologramm auf der Vorderseite schon gelitten.

(Bild: c't)

Durch die mTAN-Lücke in DHLs Packstationen hatten es Hacker unnötig leicht, die Paketfächer der DHL-Kunden zu übernehmen. Nachdem c't das Versandunternehmen über das Problem informiert hatte, schaltete es die betroffene Funktion mit etwas Verzögerung ab. Dieser Artikel liefert Hintergründe zu der fatalen Schwachstelle und zeigt, welche Risiken bestehen bleiben.

Um ein Paket bei einer Packstation abzuholen, benötigt der Kunde zwei Dinge: seine Kundenkarte, die sogenannte Goldcard, und eine kurzzeitig gültige mTAN. Auch wenn die Goldcard mit dem Hologramm auf der Vorderseite und der Unterschrift des Kunden auf der Rückseite recht vertrauenswürdig wirkt, trägt sie nicht zur Sicherheit des Systems Packstation bei. Wir haben ihren Magnetstreifen mit einem Lese-Schreibgerät ausgelesen und fanden drei Spuren: Auf Spur 1 ist der Name des Kunden in Großbuchstaben gespeichert. Umlaute werden ausgeschrieben, ein Ä wird also zu AE. Spur 2 enthält die Kundennummer (aka Postnummer). Ist diese kürzer als zehn Stellen, werden ihr Nullen vorangestellt. In der dritten Spur ist die Ziffernfolge 005900000000000000000000 gespeichert. Ein Test mit mehreren Karten zeigte, dass sie stets identisch ist.

Diese Daten sind auf dem Magnetstreifen der Goldcard gespeichert. Spur 1: Kundenname, Spur 2: Kundennummer, Spur 3: Feste Ziffernfolge.

(Bild: c't)

Magnetkarten lassen sich von Natur aus leicht kopieren. Bei der Goldcard kommt allerdings hinzu, dass auf ihr lediglich öffentliche Informationen gespeichert sind; diese findet man zum Beispiel auf Paketen als Teil der Lieferadresse. Wer fremde Zugangsdaten hat, kann sich damit in das DHL-Kundenportal Paket.de einloggen und dort Name und Postnummer auslesen. Dadurch haben Kriminelle leichtes Spiel: Sie können sich technisch perfekte Karten-Klone erstellen, ohne die Originalkarte in der Hand gehabt zu haben. Die erforderliche Magnetkartenschreiber kostet 140 Euro und ist frei verkäuflich. Das Schreiben des Magnetstreifens ist per Mausklick erledigt. Wir konnten mit den Daten von Paket.de innerhalb von Sekunden eine funktionsfähige Kundenkarte im Namen eines eingeweihten Kollegen erstellen. Die Goldcard erfüllt also lediglich eine Komfortfunktion, indem sie den Kunden das Eintippen ihrer Kundennummer erspart.

Zum Erstellen der Kundenkarten benötigt man lediglich einen Magnetkartenschreiber für 140 Euro und Kartenrohlinge für wenige Cent.

(Bild: c't)

Deshalb ist die mTAN von großer Bedeutung. Sie wird von der Packstation abgefragt, nachdem die Kundenkarte eingelesen wurde. DHL hat sie 2012 eingeführt und damit die Sicherheit der Packstationen erheblich verbessert – zuvor wurde lediglich eine vierstellige, dauerhaft gültige PIN abgefragt. Die mTAN ist hingegen nur kurze Zeit gültig. Wie beim Online-Banking schickt DHL die mTAN per SMS an die im Kundenkonto hinterlegte Handynummer. Wer ein Paketfach öffnen will, muss diese SMS empfangen können, also Zugriff auf das Handy oder zumindest die SIM-Karte des Kunden haben. DHL versucht zu verhindern, dass Angreifer die hinterlegte Rufnummer ändern. Beim Versuch, die Handynummer über das Kundenportal Paket.de zu ändern, schickt DHL einen Link an die Mail-Adresse des Kunden, den man zur Bestätigung der Änderung anklicken muss. Das bremst einen Angreifer erst mal aus, da er auch Zugriff auf das Mailkonto seines Opfers benötigt. Berichten zufolge soll es allerdings auch möglich sein, die Rufnummer über die DHL-Hotline zu ändern. Diese Maßnahmen bremsen den Täter zwar, verhindern aber nicht, dass immer wieder Packstationen übernommen werden.

Durch eine Anfang Juni eingeführte Funktion konnte man die mTAN auch innerhalb der DHL-App anzeigen lassen – ein fataler Fehler.

(Bild: c't)

Anfang Juni hat DHL den Funktionsumfang der für Android und iOS erhältlichen App "DHL Paket" erweitert und dabei einen fatalen Fehler gemacht. Von diesem Zeitpunkt an war es möglich, die mTAN auch über die App abzurufen. Allerdings fand offensichtlich keine Überprüfung statt, ob die App auch tatsächlich auf dem Smartphone des Kunden läuft. Man konnte sie auf beliebigen Geräten starten und damit nach Eingabe der Zugangsdaten die derzeit gültige mTAN abrufen. Die Bindung an eine bestimmte Handynummer war damit hinfällig. Wer die Zugangsdaten hatte, konnte auch den Code abrufen. Durch die Lücke konnte man nicht nur fremde Paketfächer leerräumen, sondern die Packstation auch unter Einsatz fremder Identitäten nutzen – eine Masche, die häufig zur Lieferung illegaler Waren wie Rauschgift genutzt wird. Auch Online-Bestellungen, die mit geklauten Kreditkarten bezahlt werden, werden nicht selten an eine der rund 3000 Packstationen geschickt. Als Empfänger werden ahnungslose DHL-Kunden missbraucht, die davon bestenfalls am Rande etwas mitbekommen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Entdeckt hat die Lücke der Aachener Sicherheitsforscher Hanno Heinrichs. Er wandet sich mit seinem Fund an die c't-Redaktion, die sich daraufhin mit DHL in Verbindung setzte. Zunächst erklärte das Unternehmen, dass "kein erhöhtes Sicherheitsrisiko" bestehe. Nachdem die Schwachstelle bereits in Untergrund-Foren gehandelt wurde, zog DHL schließlich den Stecker.

Die App kommuniziert transportverschlüsselt mit der Web-API https://app.dhl.de. Die Zugangsdaten des Kunden werden vor der Übertragung zusätzlich AES-verschlüsselt. Der genutzte AES-Schlüssel ist statisch und bei allen Nutzern identisch. Zudem gibt es einen DPAG-Interface-Key, der offenbar die missbräuchliche Nutzung der API verhindern soll. Auch dieser ist stets identisch. Beide Schlüssel sind nicht geheim, sie lassen sich leicht aus der Android-App extrahieren.

Sowohl die Kundenkarte als auch das mTAN-Verfahren kann man mit geringen konzeptuellen Änderungen sicher umsetzen. Zunächst zur Kundenkarte: DHL könnte in die dritte Spur des Magnetstreifens ein Geheimnis schreiben; etwa eine zufällige Zeichenfolge. Dieses Geheimnis würde zwar nicht das Kopieren der Karten verhindern, sehr wohl aber, dass sich Online-Ganoven funktionsfähige Karten-Klone mit öffentlichen Daten erstellen. Die Packstation müsste das Geheimnis natürlich auch kennen oder eine Möglichkeit haben, online nachzufragen, ob die Daten auf Spur 3 zu der Kundennummer in Spur 2 passen.

Den Übertragungsweg der mTAN per App ließe sich ebenfalls durch ein Geheimnis absichern, welches nur DHL und der Kunde kennen (Shared Secret). So könnte DHL seinen Kunden zum Beispiel einen QR-Code per Briefpost zusenden, welcher bei Einrichtung der App gescannt werden muss. So wäre bewiesen, dass der App-Nutzer auch tatsächlich der legitime Account-Besitzer ist. Diesen Code könnte man auch statt des statischen AES-Schlüssels einsetzen, um die Daten des Nutzers vor der Übertragung zu verschlüsseln. DHL ist gerade dabei, das mTAN-Verfahren "technisch weiter zu optimieren". Wir sind gespannt, welchen Weg das Unternehmen einschlagen wird, um die Packstationen abzusichern. (rei)