News vom 29.02.2016

Sicherheitslücke bei mytaxi

Ein Artikel von , veröffentlicht am 29.02.2016

Mitarbeiter von mobilsicher.de haben bei dem Dienst mytaxi eine Sicherheitslücke entdeckt, mit der Nutzerkonten geknackt werden konnten. Die App wurde mehr als 10 Millionen Mal heruntergeladen. Das Unternehmen behob das Problem nach eigenen Angaben am Freitag.

[29.02.2016] Wer sich mit der App von mytaxi ein Taxi rufen will, muss ein Nutzerkonto bei dem Dienst anlegen. Login-Informationen sind die hinterlegte E-Mail-Adresse und ein selbst gewähltes Passwort.

Wie der Sicherheitsexperte Mike Kuketz bei seiner Analyse der App herausfand, lässt sich dieses Nutzerkonto mit einem sogenannten Brute-Force-Angriff knacken. Brute-Force (Deutsch: Rohe Gewalt) bedeutet, man probiert so lange Passwörter aus, bis man das richtige findet.

Normalerweise verwenden Apps und die dazugehörigen Webserver einen Schutzmechanismus, mit dem der Login-Prozess nach einer Anzahl von Fehlversuchen verzögert oder blockiert wird. Dieser Schutzmechanismus – eigentlich ein Standard – fehlte bei der mytaxi-App.

Allein mit der E-Mail-Adresse eines Nutzers konnte man also bis vor kurzem online das zugehörige mytaxi-Passwort angreifen. Das Gerät des Nutzers brauchte man dazu nicht.

Da mytaxi auch anbietet, per App zu bezahlen, sind in den Nutzerkonten häufig Zahlungsdetails wie Kreditkarte oder Paypal-Account hinterlegt. Ob das Problem auch für Apple-Geräte besteht, ist nicht bekannt.

Mytaxi reagierte sofort auf den Hinweis von mobilsicher.de und behob das Problem nach eigenen Angaben am nächsten Tag, Freitag, 26. Februar. „Die Sicherheit unsere User hat für uns höchste Priorität“, versicherte CTO Jan Ramm in seiner Antwort an mobilsicher.de

Ein weiteres Problem in der App, die als unsicher geltende Hashfunktion MD5, mit der das Passwort für das Nutzerkonto auf dem Nutzergerät abgelegt wird, hat das Unternehmen leider nicht behoben.

In unserer App-Rezension mytaxi: Taxis rufen und bezahlen haben wir die App gründlich durchleuchtet. Dort erfahren sie auch, welche Daten die App von Ihnen abgreift und zu welchen Diensten sie Kontakt aufnimmt.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

App-Berechtigungen 

Android: Was heißt „Geräteadministrator“?

Apps mit diesem Status können Systemfunktionen steuern, zum Beispiel die Bildschirmsperre ändern. Die mächtige Berechtigung ist im Handymenü gut versteckt. So verwalten Sie den "Geräteadministrator".

Mehr
Messenger 

Messenger-App Kontalk kurz vorgestellt (Android)

Der kostenlose Messenger Kontalk wird weltweit von Freiwilligen organisiert. Das Interesse an Nutzerdatenauswertung entfällt dadurch. Kontalk gibt es für Android und für den Desktop. Außerdem ist er mit dem Messenger Conversations kompatibel.

Mehr
Backup 

Cloud-Dienst Tresorit kurz vorgestellt

Wenn Sie Dokumente oder Fotos in einer Cloud speichern, können Sie jederzeit über das Internet darauf zugreifen. Der Cloud-Dienst Tresorit legt alle Ihre Inhalte automatisch Ende-zu-Ende-verschlüsselt ab. In der Basisversion ist der Dienst kostenlos.

Mehr
Soziale Netzwerke 

Facebook unterwegs: Zugriffsrechte, Tracking, Akkulaufzeit

Für viele Nutzer ist Facebook der wichtigste Dienst auf dem Smartphone. Das Problem: Die Facebook-App verlangt viele Zugriffsrechte und verbraucht Akku und Speicherplatz. Die meisten dieser Probleme lassen sich lösen – wir erklären, wie.

Mehr