Packstation: DHL schaltet mTAN-Abruf per App wieder scharf
Im Juni erleichterte eine neue Funktion der DHL-App den Missbrauch der Packstationen enorm. Diese Funktion ist jetzt wieder aktiv – in überarbeiteter Form. Ein per SMS zugestellter Aktivierungscode soll das Sicherheitsproblem lösen.
- Ronald Eikenberg
DHL hat die Sicherheit seiner Packstation überarbeitet und bietet ab sofort wieder die Zustellung des mTAN genannten Abholcodes per App an. Das Transportunternehmen hatte die Funktion kurz nach der Einführung im Juni wieder abgeschaltet, nachdem c't damit einen möglichen Missbrauch der Packstationen demonstriert hatte. Zwischenzeitlich wurde in einem Untergrund-Forum ein Tool verkauft, mit dem jeder die Schwachstelle ausnutzen konnte. Mit dem Update der App sollte das nicht mehr möglich sein.
Was bisher geschah
Vor dem fatalen Update hatte DHL die mTAN ausschließlich per SMS zugestellt. Wer eine fremdes Packstationkonto missbrauchen wollte, musste also auch Zugriff auf die bei DHL hinterlegte Handynummer haben, um die SMS empfangen zu können. Anfang Juni wurde dieses etablierte Sicherheitskonzept durch eine neue Komfortfunktion ad absurdum geführt: Die Versandfirma hat die mTAN seitdem parallel per App zugestellt, dabei allerdings einen fatalen Fehler begangen. Es wurde nicht verifiziert, dass der Nutzer der App tatsächlich der legitime Kunde ist. Wer die Zugangsdaten hatte, konnte damit die App einrichten und fortan auch die mTANs abgreifen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Durch ein c't vorliegendes Proof-of-Concept-Skript und ein kostenpflichtiges Tool aus einem Untergrund-Forum wurde eine Übernahme fremder Zugänge weiter erleichtert. Zwar waren weiterhin die Zugangsdaten für einen Missbrauch notwendig, das ist jedoch keine Hürde: Online-Kriminelle sammeln DHL-Logins per Phishing oder Trojaner ein und verkaufen die Zugänge anschließend für ein paar Euro auf einschlägigen Marktplätzen.
Sicherheit durch Aktivierung per SMS
Mit dem am heutigen Mittwoche erschienenen Update der App "DHL Paket" hat das Versandunternehmen die mTAN-Zustellung per App wieder eingeschaltet. Wer diese Funktion nutzen möchte, muss nun zunächst den Bereich "Packstation" aktivieren. Dabei erhält man einen sechsstelligen Aktivierungscode per SMS, den man in die App eingeben muss. Erst dann kann man die mTANs über die Paket-App abrufen.
Externes Audit
Nach aktuellem Kenntnisstand hat DHL das Sicherheitsproblem damit gelöst. Es ist sichergestellt, dass der Nutzer der App auch tatsächlich Zugriff auf die bei DHL hinterlegte Handynummer hat. In diesem Fall könnte er die mTANs ohnehin bereits per SMS empfangen. Das Versandunternehmen erklärte gegenüber c't, dass die überarbeitete Funktion von der Kölner Pentesting-Firma SektionEins überprüft und für "sicher" befunden wurde.
Waffenlieferungen an Packstationen
Dass Packstationen zuverlässig gegen Missbrauch geschützt sind, ist enorm wichtig. Die Paketautomaten werden von Online-Kriminellen als Lieferziel für allerlei Illegalen wie etwa gefälschte Ausweise, Drogen aber auch Waffen genutzt. Auch der Amokläufer, der am vergangenen Freitag in München neun Menschen und sich selbst tötete, hat seine Tatwaffe mutmaßlich an eine Packstation liefern lassen. Dazu soll er einen fremden Zugang missbraucht haben, die er – wie auch die Tatwaffe – im Darknet gekauft hatte.
Hintergründe zur Sicherheit der DHL Packstationen
- "Knackstation – Sicherheitslücke in DHLs Packstationen" in c't 14/2016
- "Hintergründe des Packstation-Hacks" in c't online
(rei)
