Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Die Informationen könnten veraltet sein.
News vom 29.02.2016

Sicherheitslücke bei mytaxi

Ein Artikel von , veröffentlicht am 29.02.2016

Mitarbeiter von mobilsicher.de haben bei dem Dienst mytaxi eine Sicherheitslücke entdeckt, mit der Nutzerkonten geknackt werden konnten. Die App wurde mehr als 10 Millionen Mal heruntergeladen. Das Unternehmen behob das Problem nach eigenen Angaben am Freitag.

[29.02.2016] Wer sich mit der App von mytaxi ein Taxi rufen will, muss ein Nutzerkonto bei dem Dienst anlegen. Login-Informationen sind die hinterlegte E-Mail-Adresse und ein selbst gewähltes Passwort.

Wie der Sicherheitsexperte Mike Kuketz bei seiner Analyse der App herausfand, lässt sich dieses Nutzerkonto mit einem sogenannten Brute-Force-Angriff knacken. Brute-Force (Deutsch: Rohe Gewalt) bedeutet, man probiert so lange Passwörter aus, bis man das richtige findet.

Normalerweise verwenden Apps und die dazugehörigen Webserver einen Schutzmechanismus, mit dem der Login-Prozess nach einer Anzahl von Fehlversuchen verzögert oder blockiert wird. Dieser Schutzmechanismus – eigentlich ein Standard – fehlte bei der mytaxi-App.

Allein mit der E-Mail-Adresse eines Nutzers konnte man also bis vor kurzem online das zugehörige mytaxi-Passwort angreifen. Das Gerät des Nutzers brauchte man dazu nicht.

Da mytaxi auch anbietet, per App zu bezahlen, sind in den Nutzerkonten häufig Zahlungsdetails wie Kreditkarte oder Paypal-Account hinterlegt. Ob das Problem auch für Apple-Geräte besteht, ist nicht bekannt.

Mytaxi reagierte sofort auf den Hinweis von mobilsicher.de und behob das Problem nach eigenen Angaben am nächsten Tag, Freitag, 26. Februar. „Die Sicherheit unsere User hat für uns höchste Priorität“, versicherte CTO Jan Ramm in seiner Antwort an mobilsicher.de

Ein weiteres Problem in der App, die als unsicher geltende Hashfunktion MD5, mit der das Passwort für das Nutzerkonto auf dem Nutzergerät abgelegt wird, hat das Unternehmen leider nicht behoben.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Mobilgeräte für Kinder einrichten

Viele Kinder wünschen sich ein eigenes Smartphone oder Tablet. Ganz ohne elterliche Aufsicht sollten sie diese Geräte jedoch nicht nutzen. Und Eltern können viel dafür tun, dass ihre Kinder unbesorgt mit dem Mobilgerät spielen und lernen können.

Mehr
Ratgeber 

Sicher ins neue Jahr: 4 Tipps für Android

"Endlich mal das Handy aufräumen!" - das denken Sie schon lange, konnten sich aber bisher nicht aufraffen? Mit unseren vier Tipps sind die wichtigsten Punkte schnell abgehakt - und Sie starten deutlich sicherer ins Jahr 2021.

Mehr
YouTube-Video 

Firefox einstellen: So kriegen Sie den vollen Datenschutz (Android)

Mit Firefox als Browser machen Sie in Sachen Datenschutz nichts falsch. Allerdings sollte man ein paar wichtige Einstellungen vornehmen. Wir zeigen Ihnen, was Sie tun können, um aus Firefox das Beste herauszuholen.

Ansehen
Ratgeber 

Swisscows: Suchmaschine aus der Schweiz

Der Schweizer Dienst Swisscows will die Konkurrenz im Feld der alternativen Suchmaschinen noch überbieten. Er sammelt keinerlei Nutzer*innendaten und verzichtet auf Drittanbieter. Finanziert wird er durch Spenden und Sponsoren, die auch Anzeigen schalten dürfen.

Mehr