Vorsicht beim Shoppen im Zug: WIFIonICE manipuliert PayPal

Seit einiger Zeit bietet die Deutsche Bahn in ausgewählten ICE-Zügen kostenloses WLAN unter dem Namen WIFIonICE an. In den vergangenen Tagen berichteten mehrere Leser heise Security, dass ihre gesicherten Verbindungen zu PayPal im WLAN der Bahn seltsame Fehlermeldungen lieferten. Da das die Sicherheit von Bezahlvorgängen betrifft, klingt das sehr dubios und vielleicht sogar gefährlich. Wir konnten das Phänomen selbst in einem ICE nachvollziehen.

HTTPS soll nicht nur die übertragenen Daten verschlüsseln, sondern auch sicherstellen, dass die am anderen Ende beim richtigen Empfänger ankommen. Das ging bei einem Kurztest auf dem Notebook gründlich schief: Statt der erwarteten HTTPS-gesicherten Verbindung zu Paypal zeigte der Web-Browser eine Fehlermeldung, dass die Verbindung nicht sicher sei, weil der Name des Servers nicht stimme.

Eine genauere Inspektion des Zertifikats zeigte dann auch, dass es von Symantec im Januar für ein dänisches Logistik-Unternehmen namens Maersk Line ausgestellt wurde. Der sogenannte Common Name des Zertifikats lautet apid.maerskline.com – das klingt nach einem Firmen-WLAN. Wie das in die HTTPS-Verbindung zu Paypal geraten konnte, ist ein Rätsel, das wohl nur die Deutsche Bahn auflösen kann. Insbesondere weil der Gegentest mit diversen anderen HTTPS-Seiten nichts ergab: Facebook, heise online und einige Banken-Seiten luden völlig normal. Und nach dem Umschalten von Bahn-WLAN auf Mobilfunk (LTE-Tethering) begrüßte uns auch PayPal wieder mit dem grünen Schloss.

Seltsames iPhone-Verhalten

Noch rätselhafter wurde es jedoch beim Gegencheck auf dem Smartphone. Dort zeigte der iPhone-Browser Safari im WIFIonICE die angeblich sichere HTTPS-Paypal-Seite an. Leider erlaubt es Apple dem Anwender nicht, das angelieferte Zertifikat zu prüfen. So kann es sein, dass das WLAN der Bahn die iPhone/Safari-Verbindung tatsächlich unangetastet lässt. Oder Safari ignoriert das falsche Zertifikat aus welchen Gründen auch immer. Ein Test mit Chrome auf dem gleichen iPhone erbrachte jedenfalls wieder einen SSL-Fehler. Allerdings verhält sich Chrome bei HTTPS/TLS und Zertifikaten manchmal auch päpstlicher als der Papst.

Ursachenforschung

Antiviren-Software beziehungsweise Internet-Security-Suiten klinken sich öfter in HTTPS-Verbindungen ein, um Downloads und Web-Seiten auf mögliche Gefahren zu untersuchen. Weder das Notebook noch das iPhone hatten jedoch derartige Schutz-Software. Angesichts der unabhängigen Berichte über Zertifikatsfehlern bei Lesern, die in anderen Zügen saßen, steht fest, dass im WLAN der Deutschen Bahn seltsame Dinge passieren.

In Firmennetzen ist es durchaus üblich, dass sich – in Absprache mit den Mitarbeitern und mit entsprechenden Vorkehrungen, um Zertifikatsfehler zu vermeiden – etwa Intrusion Detection Systeme in HTTPS-Verbindungen einklinken. Das kann in diesem Fall jedoch ausgeschlossen werden. Ein öffentliches WLAN sollte HTTPS-Verbindungen unangetastet lassen. Das weiß eigentlich auch die Bahn, die in ihrer WIFIonICE-Beschreibung erklärt:

Um eine sichere Übertragung zu gewährleisten, empfehlen wir Ihnen das WLAN-Angebot im ICE über eine VPN-Verbindung zu nutzen oder nur Webseiten mit dem Zusatz „https://“ zu besuchen.

Schon wegen des Zertifikatsfehlers erscheint jedoch ein echter Angriff recht unwahrscheinlich. Eher schon könnte es sein, dass etwa auf Grund einer Fehlkonfiguration im DNS die Verbindung zu einem falschen Server umgeleitet wird (was ich dummerweise nicht mehr getestet habe). Wir werden dem jedoch weiter nachgehen und haben bei der Deutschen Bahn bereits nachgefragt, was da passiert. Bis die das Rätsel auflöst, sollten Sie lieber keine Bezahlvorgänge oder andere wirklich wichtige Dinge im WIFIonICE der Bahn tätigen.

Update 19.05.2017, 18:00 Uhr

Ein zugfahrender Leser hat weiter nachgeforscht und festgestellt, dass im WIFIonICE der Name www.paypal.com zu einem Content-Delivery-Server von Akamai mit der IP-Adresse 23.46.119.241 aufgelöst wird. Ein Sprecher der Deutschen Bahn erklärte gegenüber heise Security unterdessen: "Wir haben den Fehler nachvollziehen können und arbeiten daran, ihn schnellstmöglich zu beheben."

Update 22.05.2017, 16:07 Uhr

Die Bahn hat den Fehler mittlerweile behoben. (ju)