News vom 29.02.2016

Sicherheitslücke bei mytaxi

Ein Artikel von , veröffentlicht am 29.02.2016

Mitarbeiter von mobilsicher.de haben bei dem Dienst mytaxi eine Sicherheitslücke entdeckt, mit der Nutzerkonten geknackt werden konnten. Die App wurde mehr als 10 Millionen Mal heruntergeladen. Das Unternehmen behob das Problem nach eigenen Angaben am Freitag.

[29.02.2016] Wer sich mit der App von mytaxi ein Taxi rufen will, muss ein Nutzerkonto bei dem Dienst anlegen. Login-Informationen sind die hinterlegte E-Mail-Adresse und ein selbst gewähltes Passwort.

Wie der Sicherheitsexperte Mike Kuketz bei seiner Analyse der App herausfand, lässt sich dieses Nutzerkonto mit einem sogenannten Brute-Force-Angriff knacken. Brute-Force (Deutsch: Rohe Gewalt) bedeutet, man probiert so lange Passwörter aus, bis man das richtige findet.

Normalerweise verwenden Apps und die dazugehörigen Webserver einen Schutzmechanismus, mit dem der Login-Prozess nach einer Anzahl von Fehlversuchen verzögert oder blockiert wird. Dieser Schutzmechanismus – eigentlich ein Standard – fehlte bei der mytaxi-App.

Allein mit der E-Mail-Adresse eines Nutzers konnte man also bis vor kurzem online das zugehörige mytaxi-Passwort angreifen. Das Gerät des Nutzers brauchte man dazu nicht.

Da mytaxi auch anbietet, per App zu bezahlen, sind in den Nutzerkonten häufig Zahlungsdetails wie Kreditkarte oder Paypal-Account hinterlegt. Ob das Problem auch für Apple-Geräte besteht, ist nicht bekannt.

Mytaxi reagierte sofort auf den Hinweis von mobilsicher.de und behob das Problem nach eigenen Angaben am nächsten Tag, Freitag, 26. Februar. „Die Sicherheit unsere User hat für uns höchste Priorität“, versicherte CTO Jan Ramm in seiner Antwort an mobilsicher.de

Ein weiteres Problem in der App, die als unsicher geltende Hashfunktion MD5, mit der das Passwort für das Nutzerkonto auf dem Nutzergerät abgelegt wird, hat das Unternehmen leider nicht behoben.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

YouTube-Video 

Hilfe bei Gewalt im Netz – Interview mit Kerstin von HateAid

Die Organisation HateAid hilft Menschen, die im Internet Hass und Gewalt erfahren. Wie häufig Menschen anhand gestohlener Daten im Netz bloßgestellt werden und wie man (auch juristisch) gegen digitale Gewalt vorgehen kann, berichtet HateAid-Mitarbeiterin Kerstin im Interview.

Ansehen
App-Test 

Verkehrs-App Blitzer.de Pro im Test (iOS)

Blitzer.de Pro ist eine kostenpflichtige App, die den Nutzer vor stationären und mobilen Blitzern warnt. Die App ist für iOS und Android (unter dem Namen Blitzer.de Plus) verfügbar. Unser Test auf iOS zeigt, dass die Warnung vor Blitzern und anderen Gefahren erfreulich datensparsam funktioniert.

Mehr
Ratgeber 

Der beste Hack, um auf iPhones GPS schnell an- und auszuschalten

Einen Button zum Aus- und Anschalten von GPS im Kontrollzentrum? Beim iPhone leider Fehlanzeige. Mit diesem Trick könnt ihr euch etwas sehr ähnliches bauen.

Mehr
Ratgeber 

Datenübermittlung zu Google minimieren

Android ist eng an Google-Dienste gebunden. In den Standard-Einstellungen werden Standort, Suchbegriffe und mehr direkt an Google übermittelt. Mit diesen Einstellungen wird dein Smartphone datensparsamer.

Mehr