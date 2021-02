Hersteller von Elektrotretrollern nehmen die IT-Sicherheit nicht allzu wichtig. Das zeigte ein Vortrag auf dem IT-Sicherheitskongress des BSI am Mittwoch. Über einen Zugriff auf die APIs der Unternehmen lassen sich Bewegungsprofile erstellen oder sogar Schlüssel auslesen, mit denen sich vorbeifahrende E-Tretroller abschalten lassen.

App-Kommunikation abgehört

Jan-Niclas Hilgert, wissenschaftlicher Mitarbeiter am Fraunhofer FKIE demonstrierte, dass sich die API einiger Anbieter ohne große Probleme auslesen lassen. Um Zugang zu den Daten bei dem Anbieter Lime zu bekommen, setzten die Forscher ein iPhone mit Jailbreak ein. Dadurch konnten sie die Informationen, die die App empfing, konstant mitlesen. Durch das Auslesen oder Neuerzeugen eines Nutzer-Tokens war das iPhone nicht mehr notwendig, sodass die Forensiker Daten direkt über die API abrufen konnten. Diese Daten erwiesen sich als erstaunlich detailliert. So waren Nutzerdaten auslesbar, die bei PayPal als Zahlungsmethode auch die E-Mail-Adresse des Nutzers enthielten.

Informationen über die E-Tretroller gab es zuhauf: Die Apps aller Verleiher enthalten eine Übersicht, wo in der Nähe Fahrzeuge zum Ausleihen bereitstehen. Nachdem die IT-Forensiker diese Daten einmal analysiert hatten, fanden sie heraus, dass zum Beispiel die Server des Anbieters Tier deutlich mehr Infos sendeten, als in der App angezeigt wurden. Neben Ort und Kennzeichen waren auch Status-Informationen wie der Akku-Ladestand und die interne Nummer des E-Tretrollers abrufbar.

Alle Infos über alle E-Tretroller

Weitere Experimente zeigten schnell: Die Tier-API listet nicht nur Roller in der Umgebung auf, sie lässt auch direkte Abfragen zu bestimmten Fahrzeugen zu. Die IT-Forscher fragten also sämtliche Daten sämtlicher E-Tretroller automatisiert ab und bekamen so einen Überblick über die gesamte Flotte. Meldeten die Server von Tier im Februar 2020 knapp 24.000 aktive Leihgeräte, waren es im Dezember über 56.000. Auch Informationen über gestohlene, beschädigte oder aus dem Betrieb genommene E-Tretroller rückte die API anstandslos heraus.

Da die Positionsdaten der Roller laufend übertragen werden, lassen sich damit prinzipiell auch einzelne Nutzer verfolgen. Notwendig dafür war lediglich das Kennzeichen des E-Tretrollers. Mit einer Dauer-Abfrage über mehrere Stunden konnten die Forscher sogar eine Bewegungs-Übersicht sämtlicher Roller generieren.

Abschalten per Bluetooth

Eine Besonderheit bietet der Anbieter Spin an, dessen E-Tretroller nicht nur GPS und Mobilfunk, sondern auch eine Bluetooth-Anbindung enthalten. Über Reverse Engineering vollzogen Hilgert und Kollegen den Vorgang zum Sperren und Entsperren nach. Ihnen fehlte lediglich der zugehörige Bluetooth-Schlüssel, der alle 24 Stunden ausgetauscht wird. Aber auch hier erwies sich die API des Anbieters als geschwätzig. Eine entsprechende Abfrage lieferte den Forschern den Schlüssel frei Haus. Ergebnis: Im Praxistest konnten sie einen vorbeifahrenden E-Tretroller per Bluetooth abschalten.

"Wenn das im fließenden Verkehr passiert, ist das vielleicht nicht die beste Sache", resümierte Hilgert. Die Ergebnisse der API-Analysen wollen die Forscher in den kommenden Wochen auf Github veröffentlichen.

Update 4.2.21, 13.10 Uhr: Hilgert erklärte gegenüber heise online, dass die Probleme zwar an die E-Scooter-Verleiher gemeldet worden seien, eine Rückmeldung hätten die Entdecker jedoch bis heute nicht erhalten.

(anw)