Uber: Taxis und Fahrdienste per App bestellen

Chauffeur

Uber ist eine kostenlose App, die Taxis, Fahrdienste und außerhalb Deutschlands auch private Mitfahrgelegenheiten vermittelt. Die Bezahlung erfolgt über Kreditkarte oder PayPal. Ein mögliches Problem: Die Übermittlung einer Vielzahl sensibler Informationen.

Veröffentlicht am
Autor
Schlagworte
Datenschutz · Fahrdienst · Sicherheit · Taxi · Taxisuche · Test · Verschlüsselung
Drucken

Mit der Uber-App können Nutzer in Deutschland Taxifahrten und Fahrten mit gewerblichen Fahrdiensten über das Smartphone arrangieren. Die Anfahrt des Fahrers lässt sich direkt auf einer Karte in der App verfolgen. Am Ende der Fahrt erfolgt die Abrechnung über eine hinterlegte Zahlungsart – inklusive Zustellung des Belegs per E-Mail.

Uber ist in mehreren Städten in Deutschland verfügbar. Wegen Rechtsstreitigkeiten hat Uber allerdings in Hamburg, Frankfurt und Düsseldorf vorläufig sein Angebot ganz eingestellt.

Anbieter der App ist die Firma Uber Technologies Inc. mit Hauptsitz in den USA. Ihr eigentliches Geschäftsmodell, die Vermittlung privater Mitfahrgelegenheiten, ist für Uber in Deutschland nicht erlaubt.

Getestete Version: 3.87.2 (30. Januar 2016)
Link zum App-Store: Google Play Store
Weblink: Deutsche Webseite von Uber

Unser Test zusammengefasst

Bei der Installation verlangt Uber Zugriff auf viele Berechtigungen, die nicht zwangsläufig zur Diensterbringung notwendig sind. Nach dem Start der App verbindet sie sich zu diversen Adressen der Uber Technologies Inc., aber auch zu Drittanbietern wie Google, dem Bezahldienst „PayPal“ und verschiedenen Tracking-Diensten.

Kontoinformationen, wie das Login-Passwort, werden sicher auf dem Smartphone gespeichert. Uber informiert in seiner Datenschutzerklärung transparent über die Erfassung, Verwendung und Weitergabe von übermittelten Daten. Insgesamt erfasst die Uber Technologies Inc. viele sensible Informationen vom Nutzer.

Hinweis: Zur Nutzung der App sind Google Play-Dienste erforderlich.

Die Testergebnisse im Detail

Wir haben die Version 3.87.2 getestet, die wir aus dem Play-Store heruntergeladen haben. Dieser Test gibt keine Auskunft über abweichende Versionen.

Welche Daten sieht die App?

Uber erklärt die Verwendung der Zugriffsrechte ausführlich auf seiner Webseite. Allerdings nur auf englisch. Viele der Berechtigungen, die für eine App der Kategorie Navigation/Verkehr ungewöhnlich sind, dienen Uber zufolge dem Komfort der Nutzer. In der App sind zum Beispiel Anrufe an den Fahrer oder SMS um Freunde zu Uber einzuladen, direkt aus der App möglich. Dazu benötigt die App die Berechtigungen SMS senden und Telefonnummer anrufen.

Die Diensterbringung wäre aber vermutlich auch ohne die nachfolgenden Berechtigungsgruppen möglich: Kontakte, SMS, Telefon, Kamera und Geräte-ID & Anrufinformationen. Einige Komfort-Funktionen würden damit wegfallen – allerdings ist für uns fraglich, ob diese Funktionen dringend nötig sind.

Im Einzelnen forderte die App im Test die folgenden Berechtigungen an. Ein Klick auf die Berechtigung bringt Sie zu unserer Detail-Erklärung.

Wohin verbindet sich die App?

Uber: Zur Diensterbringung werden diverse Verbindungen zu den Servern der Uber Technologies Inc. aufgebaut. Die Kommunikation wird mit TLS-Verschlüsselung und dem sogenannten Certificate Pinning gegenüber Dritten abgesichert.

Neben personenbezogenen Daten wie Name, E-Mail Adresse und Telefonnummer übermittelt die App weitere Informationen. Schon beim Anmeldevorgang werden eindeutige Identifizierungsmerkmale wie die IMEI- /IMSI-Nummer und die Serien-Nummer der SIM-Karte übermittelt.

Ebenfalls übertragen wird die Information, ob die App auf einem Emulator ausgeführt wird, ob das Gerät gerootet wurde und ob die Funktion „Installation von Apps aus unbekannten Quellen zulassen“ aktiviert ist.

Aber auch der Batterieladestand und die eindeutige MAC-Adresse der WLAN-Schnittstelle scheint für Uber Technologies Inc. von Interesse zu sein. Zur reinen Diensterbringung sind die Abfrage solcher Informationen nicht notwendig und werden von uns daher als kritisch eingestuft.

Google: Unmittelbar nach dem Start werden Verbindungen zu unterschiedlichen Google-Adressen aufgebaut. Der Grund: Die Entwickler greifen auf diverse Funktionen der Google Play-Dienste zurück, die unter anderem für die Darstellung des Google Kartenmaterials benötigt werden oder das Einloggen über ein bestehendes Google+ Konto ermöglichen.

Facebook: Nutzer haben die Möglichkeit, ihr bestehendes Facebook-Konto für die Anmeldung bei Uber zu verwenden. Eine Verbindung zu Facebook wird erst dann aufgebaut, wenn der Nutzer das Facebook-Anmeldesymbol antippt.

Bezahldienste: Zum bargeldlosen Bezahlen können in Uber Kreditkarteninformationen oder ein PayPal-Account hinterlegt werden. Für das Anmelden und Bezahlen über PayPal werden diverse Verbindungen zu PayPal geöffnet. Doch auch wenn der Nutzer PayPal nicht als Bezahldienst ausgewählt hat, kommuniziert die App kontinuierlich mit den PayPal Servern.

Analyse / Tracker: Direkt nach dem Start der App werden Verbindungen zu dem Marketing-Dienst TUNE, der Analyse-Plattform adjust und dem Absturz-Analyse-Dienst Crashlytics aufgebaut. Unter anderem werden Geräteinformationen, wie das Modell und die Android-Version übertragen. Ebenfalls ausgelesen und übertragen wird eine eindeutige generierte Kennung (Android UUID) und die Google Werbe-ID. Die integrierten Analyse- bzw. Tracking-Bibliotheken verfolgen die Aktionen des Nutzers innerhalb der App.

Wie sicher speichert die App meine Daten?

Für die Nutzung von Uber ist eine Registrierung mit Name, E-Mail Adresse, Handynummer und Passwort notwendig. Alternativ können sich Nutzer von Google+ oder Facebook mit ihrem bestehenden Konto anmelden. Dabei werden auf dem Smartphone unter anderem E-Mail Adresse und Passwort gespeichert.

Das Passwort wird nicht direkt abgelegt, sondern ein „Hash“ davon. Das ist eine Art Prüfsumme, bei der es nahezu unmöglich ist, auf das ursprüngliche Passwort zurück zu rechnen. Diese Maßnahme soll Rückschlüsse auf das eigentliche Passwort erschweren, falls ein Angreifer zum Beispiel Zugang zum Gerät erlangt.

Was sagt die Datenschutzerklärung?

Die im Google Play-Store verlinkte Datenschutzerklärung verweist auf die Webseite „Datenschutzerklärung für Nutzer“ der Uber Technologies Inc. Insgesamt informiert Uber sowohl Nutzer, als auch Uber Fahrer transparent über die Erfassung, Verwendung und Weitergabe der übermittelten Daten bzw. Informationen.

Uber begründet die Datenerfassung mit der Bereitstellung und Verbesserung seiner Dienstleistung. Wir möchten dennoch darauf hinweisen, dass sehr weitreichende Informationen über Nutzer erfasst werden. Darunter die eindeutige IMEI, der Standort oder auch Geräteinformationen wie der aktuelle Batterieladestand.

Werden nur notwendige Daten erhoben?

Das Prinzip der Datensparsamkeit wird nicht umgesetzt. Es ist nachvollziehbar, wenn für die Diensterbringung Informationen wie zum Beispiel die E-Mail Adresse, Telefonnummer oder auch der Standort erhoben werden. Weniger verständlich ist die Erfassung von eindeutigen Identifizierungsmerkmalen (IMEI- /IMSI-Nummer, WLAN MAC-Adresse) oder die Information, ob das Gerät des Nutzers gerootet wurde.

Die Einbindung externer Tracking-Dienstleister wie adjust oder auch die Integration der Google-Play-Dienste sind hinsichtlich der Datensparsamkeit ebenfalls problematisch. Denn die Verwendung solcher Dienste macht auch immer die Übertragung von Nutzungsdaten erforderlich.

Besonders ungewöhnlich erscheint uns, dass Uber eine Liste mit Apps von PayPal abruft und möglicherweise auf dem Gerät prüft, ob diese Apps dort installiert sind. Der Grund dafür ist unklar. Von einer Risikoanalyse des Gerätes durch Uber bis hin zu einem angepassten Verhalten der App gegenüber verschiedenen Nutzergruppen ist alles möglich.

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!