Googles Stau-Warnung lässt sich leicht manipulieren

Firmen wie Google und Waze bieten für ihre Navigations-Dienste auch Stau-Warnungen an, die auf einer Echtzeit-Verkehrsanalyse basieren - und diese lässt sich leicht manipulieren.
Denn natürlich wird von den Diensten nicht die reale Situation vor Ort beobachtet. Statt dessen verlässt sich beispielsweise Google auf die Rückmeldungen von Android-Handys. Diese melden sich beispielsweise mit Ortsangabe beim Datenzentrum um Kartenmaterial ihrer Umgebung zu bekommen. Kommen nun viele solcher Anfragen aus einem kleinen Umfeld, nehmen die Google-Algorithmen an, dass dort viele eingeschaltete Navigations-Programme auf engem Raum aktiv sind und offensichtlich ein Stau aufgetreten ist.

Wie Tobias Jeske von der Technischen Universität Hamburg auf der Hackerkonferenz "BlackHat Europe" in Amsterdam berichtete, kann das System leicht manipuliert werden. Die Datenübertragung zwischen einem Android-Handy und Google wird zwar durch den Einsatz eines TLS-Tunnels abgesichert, dieser bringt jedoch nichts, wenn der Angreifer sich direkt am Smartphone in die Übertragung einklinkt.

Somit ist es im Grunde einfach möglich, mit dem Auto zu beliebiger Zeit eine Strecke entlangzufahren und die Pakete, mit denen die Smartphones ihre Positionsangaben an Google übermitteln, mitzuschneiden. Da im Datenzentrum offenbar keine weitere konkrete Prüfung der eingehenden Daten erfolgt, ist es möglich, die jeweiligen Pakete später mit einem angepassten Zeitschlüssel noch einmal an Google zu senden. Tut man dies mehrfach mit jeweils einem leicht abgeänderten Cookie nimmt das System letztlich an, dass plötzlich starker Verkehr im entsprechenden Abschnitt ist und zeichnet einen Stau in die Karte ein.

Laut Jeske geht es aber noch einfacher. Denn Google prüft letztlich auch nicht, ob die Standortdaten jeweils tatsächlich auf Basis einer echten Messung zustande kamen. So kann ein Angreifer sich beliebige Pakete zusammenstellen und an beliebigen Punkten auf der Welt Stauwarnungen auslösen.

Jeske konnte einen ähnlichen Angriff auch bei dem Anbieter Waze demonstrieren, der sich in Details aber unterschied. Grundsätzlich ist seiner Ansicht nach aber wohl nahezu jeder vergleichbare Stauwarnungs-Dienst, der Hochrechnungen aufgrund der Rückmeldungen seiner Nutzer anstellt, über eine solche Methode manipulierbar.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:35 Uhr YV 520mb/s USB SticksYV 520mb/s USB Sticks
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
31,99
Ersparnis zu Amazon 20% oder 8
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!