Deutsche Bahn fixt Schwachstelle im neuen WLAN von ICEs
Weil eine Sicherheits-Grundlage nicht berücksichtigt wurde, konnte man im neuen WLAN der ICE-Flotte Infos über eingeloggte Nutzer auslesen. Das ist nun nicht mehr möglich.
(Bild: dpa, Bernd Thissen)
Die Deutsche Bahn hat eine Schwachstelle in der neuen WLAN -Technik von ICEs geschlossen, wie ein Sprecher des Unternehmens gegenüber heise Security mitteilte. Man konnte den Log-in-Prozess missbrauchen, um etwa die Position von ICE-Zügen auszulesen und etwa IP-/MAC-Adressen von Nutzern einzusehen.
Auf die Schwachstelle stieß der Chaos Computer Club Hannover. Das Einloggen wird über Cross-Site-Requests realisiert und es war möglich, in diesem Kontext Cross-Site-Request-Forgery-Attacken (CSRF) auszuführen. Bei einem derartigen Eingriff lassen sich eigene Requests ins Spiel bringen und im vertrauenswürdigen Kontext ausführen.
Um die Schwachstelle aus der Welt zu schaffen, hat die Deutsche Bahn eigenen Angaben zufolge ein Software-Update eingespielt und das Problem so bei allen Zügen behoben. (des)
