News vom 29.02.2016

Sicherheitslücke bei mytaxi

Ein Artikel von , veröffentlicht am 29.02.2016

Mitarbeiter von mobilsicher.de haben bei dem Dienst mytaxi eine Sicherheitslücke entdeckt, mit der Nutzerkonten geknackt werden konnten. Die App wurde mehr als 10 Millionen Mal heruntergeladen. Das Unternehmen behob das Problem nach eigenen Angaben am Freitag.

[29.02.2016] Wer sich mit der App von mytaxi ein Taxi rufen will, muss ein Nutzerkonto bei dem Dienst anlegen. Login-Informationen sind die hinterlegte E-Mail-Adresse und ein selbst gewähltes Passwort.

Wie der Sicherheitsexperte Mike Kuketz bei seiner Analyse der App herausfand, lässt sich dieses Nutzerkonto mit einem sogenannten Brute-Force-Angriff knacken. Brute-Force (Deutsch: Rohe Gewalt) bedeutet, man probiert so lange Passwörter aus, bis man das richtige findet.

Normalerweise verwenden Apps und die dazugehörigen Webserver einen Schutzmechanismus, mit dem der Login-Prozess nach einer Anzahl von Fehlversuchen verzögert oder blockiert wird. Dieser Schutzmechanismus – eigentlich ein Standard – fehlte bei der mytaxi-App.

Allein mit der E-Mail-Adresse eines Nutzers konnte man also bis vor kurzem online das zugehörige mytaxi-Passwort angreifen. Das Gerät des Nutzers brauchte man dazu nicht.

Da mytaxi auch anbietet, per App zu bezahlen, sind in den Nutzerkonten häufig Zahlungsdetails wie Kreditkarte oder Paypal-Account hinterlegt. Ob das Problem auch für Apple-Geräte besteht, ist nicht bekannt.

Mytaxi reagierte sofort auf den Hinweis von mobilsicher.de und behob das Problem nach eigenen Angaben am nächsten Tag, Freitag, 26. Februar. „Die Sicherheit unsere User hat für uns höchste Priorität“, versicherte CTO Jan Ramm in seiner Antwort an mobilsicher.de

Ein weiteres Problem in der App, die als unsicher geltende Hashfunktion MD5, mit der das Passwort für das Nutzerkonto auf dem Nutzergerät abgelegt wird, hat das Unternehmen leider nicht behoben.

In unserer App-Rezension mytaxi: Taxis rufen und bezahlen haben wir die App gründlich durchleuchtet. Dort erfahren sie auch, welche Daten die App von Ihnen abgreift und zu welchen Diensten sie Kontakt aufnimmt.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

App-Berechtigungen 

App-Berechtigungen anzeigen und verwalten

Ab der Android-Version 6.0 (Marshmallow) können Nutzer die Zugriffsrechte von Apps zum Teil selbst zuteilen – oder verweigern. Ein großer Fortschritt in Sachen Datenkontrolle. Wir zeigen, wo Sie die entscheidenden Punkte im App-Verwaltungsmenü finden.

Mehr
Firewalls und VPNs 

Samsungs VPN-Dienst kurz vorgestellt

„Sicheres WLAN“ ist ein VPN-Dienst, den Samsung in Kooperation mit dem Software-Anbieter McAfee auf seinen Geräten bereitstellt. Glaubt man den Angaben von Samsung, bietet der Dienst viel Schutz für die Privatsphäre zu einem vergleichsweise niedrigen Preis.

Mehr
Ratgeber 

Datenhandel aufgedeckt

Eine gemeinsame Recherche von NDR und Mobilsicher.de fördert erschreckende Details über den globalen Handel mit Nutzerdaten zutage. Wir erklären, wie Datensätze über Nutzer gesammelt werden und wie Sie sich dagegen schützen können.

Mehr
Messenger 

Messenger-App Delta.Chat kurz vorgestellt

Anders als WhatsApp und Co. schickt der Messenger Delta.Chat Nachrichten nicht über eigene Server, sondern nutzt die Infrastruktur bestehender E-Mail-Adressen. Der Dienst ist damit dezentral - für Nutzer*innen hat das Vorteile.

Mehr