News vom 29.02.2016

Sicherheitslücke bei mytaxi

Ein Artikel von , veröffentlicht am 29.02.2016

Mitarbeiter von mobilsicher.de haben bei dem Dienst mytaxi eine Sicherheitslücke entdeckt, mit der Nutzerkonten geknackt werden konnten. Die App wurde mehr als 10 Millionen Mal heruntergeladen. Das Unternehmen behob das Problem nach eigenen Angaben am Freitag.

[29.02.2016] Wer sich mit der App von mytaxi ein Taxi rufen will, muss ein Nutzerkonto bei dem Dienst anlegen. Login-Informationen sind die hinterlegte E-Mail-Adresse und ein selbst gewähltes Passwort.

Wie der Sicherheitsexperte Mike Kuketz bei seiner Analyse der App herausfand, lässt sich dieses Nutzerkonto mit einem sogenannten Brute-Force-Angriff knacken. Brute-Force (Deutsch: Rohe Gewalt) bedeutet, man probiert so lange Passwörter aus, bis man das richtige findet.

Normalerweise verwenden Apps und die dazugehörigen Webserver einen Schutzmechanismus, mit dem der Login-Prozess nach einer Anzahl von Fehlversuchen verzögert oder blockiert wird. Dieser Schutzmechanismus – eigentlich ein Standard – fehlte bei der mytaxi-App.

Allein mit der E-Mail-Adresse eines Nutzers konnte man also bis vor kurzem online das zugehörige mytaxi-Passwort angreifen. Das Gerät des Nutzers brauchte man dazu nicht.

Da mytaxi auch anbietet, per App zu bezahlen, sind in den Nutzerkonten häufig Zahlungsdetails wie Kreditkarte oder Paypal-Account hinterlegt. Ob das Problem auch für Apple-Geräte besteht, ist nicht bekannt.

Mytaxi reagierte sofort auf den Hinweis von mobilsicher.de und behob das Problem nach eigenen Angaben am nächsten Tag, Freitag, 26. Februar. „Die Sicherheit unsere User hat für uns höchste Priorität“, versicherte CTO Jan Ramm in seiner Antwort an mobilsicher.de

Ein weiteres Problem in der App, die als unsicher geltende Hashfunktion MD5, mit der das Passwort für das Nutzerkonto auf dem Nutzergerät abgelegt wird, hat das Unternehmen leider nicht behoben.

In unserer App-Rezension mytaxi: Taxis rufen und bezahlen haben wir die App gründlich durchleuchtet. Dort erfahren sie auch, welche Daten die App von Ihnen abgreift und zu welchen Diensten sie Kontakt aufnimmt.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Video-Chat Blizz kurz vorgestellt

Blizz bietet Ende-zu-Ende-verschlüsselte Kommunikation für Gruppen, in der kostenlosen Variante bis fünf Personen. Anbieter ist die deutsche TeamViewer AG, die auch die gleichnamige Fernwartungssoftware herstellt. Die Vor- und Nachteile im Überblick.

Mehr
Ratgeber 

Messenger-App ginlo kurz vorgestellt

ginlo ist ein Messenger aus Deutschland mit Ende-zu-Ende-Verschlüsselung. Nachrichten können damit auch zeitversetzt gesendet und mit einem Ablaufdatum versehen werden. Seit 2020 gehört die App einer neu gegründeten GmbH.

Mehr
Ratgeber 

Diese Vorteile hat der Browser Firefox für Android

Der schnellste Weg ins Internet mit einem Android-Handy ist der vorinstallierte Browser. Der kommt meistens von Google oder vom Hersteller des Geräts. Mehr Möglichkeiten, den Datenschutz beim Surfen zu verbessern, bietet die Alternative Firefox.

Mehr
Ratgeber 

So stellen Sie Ihre iCloud richtig ein

Wer ein iPhone oder iPad hat, nutzt meistens auch die iCloud. Apple hat den Cloud-Speicher mit vielen Funktionen eng verknüpft, sodass ab Werk viele Daten im Internet landen. Wer einige Daten lieber lokal speichert, kann diese Anleitung nutzen.

Mehr