Googles Stau-Warnung lässt sich leicht manipulieren

Auto, Autobahn, fahrt Bildquelle: nachhaltigmobil.de
Firmen wie Google und Waze bieten für ihre Navigations-Dienste auch Stau-Warnungen an, die auf einer Echtzeit-Verkehrsanalyse basieren - und diese lässt sich leicht manipulieren.
Denn natürlich wird von den Diensten nicht die reale Situation vor Ort beobachtet. Statt dessen verlässt sich beispielsweise Google auf die Rückmeldungen von Android-Handys. Diese melden sich beispielsweise mit Ortsangabe beim Datenzentrum um Kartenmaterial ihrer Umgebung zu bekommen. Kommen nun viele solcher Anfragen aus einem kleinen Umfeld, nehmen die Google-Algorithmen an, dass dort viele eingeschaltete Navigations-Programme auf engem Raum aktiv sind und offensichtlich ein Stau aufgetreten ist.

Wie Tobias Jeske von der Technischen Universität Hamburg auf der Hackerkonferenz "BlackHat Europe" in Amsterdam berichtete, kann das System leicht manipuliert werden. Die Datenübertragung zwischen einem Android-Handy und Google wird zwar durch den Einsatz eines TLS-Tunnels abgesichert, dieser bringt jedoch nichts, wenn der Angreifer sich direkt am Smartphone in die Übertragung einklinkt.

Somit ist es im Grunde einfach möglich, mit dem Auto zu beliebiger Zeit eine Strecke entlangzufahren und die Pakete, mit denen die Smartphones ihre Positionsangaben an Google übermitteln, mitzuschneiden. Da im Datenzentrum offenbar keine weitere konkrete Prüfung der eingehenden Daten erfolgt, ist es möglich, die jeweiligen Pakete später mit einem angepassten Zeitschlüssel noch einmal an Google zu senden. Tut man dies mehrfach mit jeweils einem leicht abgeänderten Cookie nimmt das System letztlich an, dass plötzlich starker Verkehr im entsprechenden Abschnitt ist und zeichnet einen Stau in die Karte ein.

Laut Jeske geht es aber noch einfacher. Denn Google prüft letztlich auch nicht, ob die Standortdaten jeweils tatsächlich auf Basis einer echten Messung zustande kamen. So kann ein Angreifer sich beliebige Pakete zusammenstellen und an beliebigen Punkten auf der Welt Stauwarnungen auslösen.

Jeske konnte einen ähnlichen Angriff auch bei dem Anbieter Waze demonstrieren, der sich in Details aber unterschied. Grundsätzlich ist seiner Ansicht nach aber wohl nahezu jeder vergleichbare Stauwarnungs-Dienst, der Hochrechnungen aufgrund der Rückmeldungen seiner Nutzer anstellt, über eine solche Methode manipulierbar. Auto, Autobahn, fahrt Auto, Autobahn, fahrt nachhaltigmobil.de
Diese Nachricht empfehlen
Kommentieren16
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Bosch DIY Schlagbohrmaschine PSB 500 RE, Tiefenanschlag, Zusatzhandgriff, Koffer (500 Watt, max. Bohr-I: Holz: 25 mm, Beton: 10 mm)
Bosch DIY Schlagbohrmaschine PSB 500 RE, Tiefenanschlag, Zusatzhandgriff, Koffer (500 Watt, max. Bohr-I: Holz: 25 mm, Beton: 10 mm)
Original Amazon-Preis
42,50
Im Preisvergleich ab
42,50
Blitzangebot-Preis
35,99
Ersparnis zu Amazon 15% oder 6,51

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden