App-Test

App-Test Uber: Taxis und Fahrdienste per App bestellen

Ein Artikel von , veröffentlicht am 21.02.2016

Uber ist eine kostenlose App, die Taxis, Fahrdienste und außerhalb Deutschlands auch private Mitfahrgelegenheiten vermittelt. Die Bezahlung erfolgt über Kreditkarte oder PayPal. Ein mögliches Problem: Die Übermittlung einer Vielzahl sensibler Informationen.

Mit der Uber-App können Nutzer in Deutschland Taxifahrten und Fahrten mit gewerblichen Fahrdiensten über das Smartphone arrangieren. Die Anfahrt des Fahrers lässt sich direkt auf einer Karte in der App verfolgen. Am Ende der Fahrt erfolgt die Abrechnung über eine hinterlegte Zahlungsart - inklusive Zustellung des Belegs per E-Mail.

Uber ist in mehreren Städten in Deutschland verfügbar. Wegen Rechtsstreitigkeiten hat Uber allerdings in Hamburg, Frankfurt und Düsseldorf vorläufig sein Angebot ganz eingestellt.

Anbieter der App ist die Firma Uber Technologies Inc. mit Hauptsitz in den USA. Ihr eigentliches Geschäftsmodell, die Vermittlung privater Mitfahrgelegenheiten, ist für Uber in Deutschland nicht erlaubt.

Getestete Version: 3.87.2 (30. Januar 2016)
Link zum App-Store: Google Play Store
WeblinkDeutsche Webseite von Uber

Unser Test zusammengefasst

Bei der Installation verlangt Uber Zugriff auf viele Berechtigungen, die nicht zwangsläufig zur Diensterbringung notwendig sind. Nach dem Start der App verbindet sie sich zu diversen Adressen der Uber Technologies Inc., aber auch zu Drittanbietern wie Google, dem Bezahldienst „PayPal“ und verschiedenen Tracking-Diensten.

Kontoinformationen, wie das Login-Passwort, werden sicher auf dem Smartphone gespeichert. Uber informiert in seiner Datenschutzerklärung transparent über die Erfassung, Verwendung und Weitergabe von übermittelten Daten. Insgesamt erfasst die Uber Technologies Inc. viele sensible Informationen vom Nutzer.

Hinweis: Zur Nutzung der App sind Google Play-Dienste erforderlich.

Die Testergebnisse im Detail

Wir haben die Version 3.87.2 getestet, die wir aus dem Play-Store heruntergeladen haben. Dieser Test gibt keine Auskunft über abweichende Versionen.

Ausführliche Informationen dazu, wie unsere App-Rezensionen aufgebaut sind, welche Tests wir durchführen und warum, und was wir damit erreichen wollen, finden Sie im Hintergrundtext Was untersuchen wir in App-Rezensionen?

Welche Daten sieht die App?

Uber erklärt die Verwendung der Zugriffsrechte ausführlich auf seiner Webseite. Allerdings nur auf englisch. Viele der Berechtigungen, die für eine App der Kategorie Navigation/Verkehr ungewöhnlich sind, dienen Uber zufolge dem Komfort der Nutzer. In der App sind zum Beispiel Anrufe an den Fahrer oder SMS um Freunde zu Uber einzuladen, direkt aus der App möglich. Dazu benötigt die App die Berechtigungen SMS senden und Telefonnummer anrufen.

Die Diensterbringung wäre aber vermutlich auch ohne die nachfolgenden Berechtigungsgruppen möglich: Kontakte, SMS, Telefon, Kamera und Geräte-ID & Anrufinformationen. Einige Komfort-Funktionen würden damit wegfallen - allerdings ist für uns fraglich, ob diese Funktionen dringend nötig sind.

Im Einzelnen forderte die App im Test die folgenden Berechtigungen an. Ein Klick auf die Berechtigung bringt Sie zu unserer Detail-Erklärung.

Wohin verbindet sich die App?

Uber: Zur Diensterbringung werden diverse Verbindungen zu den Servern der Uber Technologies Inc. aufgebaut. Die Kommunikation wird mit TLS-Verschlüsselung und dem sogenannten Certificate Pinning gegenüber Dritten abgesichert.

Im Hintergrundtext Wie sicher sind Internetverbindungen von Apps erklären wir, was TLS und Certificate Pinning sind. Details zur Funktionsweise finden Sie im Beitrag TLS/SSL Fragen und Antworten.

Neben personenbezogenen Daten wie Name, E-Mail Adresse und Telefonnummer übermittelt die App weitere Informationen. Schon beim Anmeldevorgang werden eindeutige Identifizierungsmerkmale wie die IMEI- /IMSI-Nummer und die Serien-Nummer der SIM-Karte übermittelt.

Ebenfalls übertragen wird die Information, ob die App auf einem Emulator ausgeführt wird, ob das Gerät gerootet wurde und ob die Funktion „Installation von Apps aus unbekannten Quellen zulassen“ aktiviert ist.

Aber auch der Batterieladestand und die eindeutige MAC-Adresse der WLAN-Schnittstelle scheint für Uber Technologies Inc. von Interesse zu sein. Zur reinen Diensterbringung sind die Abfrage solcher Informationen nicht notwendig und werden von uns daher als kritisch eingestuft.

Was es mit IMEI und IMSI auf sich hat, erfahren Sie im Hintergrundtext IMEI und SIM: Was hat das mit Sicherheit zu tun?

Google: Unmittelbar nach dem Start werden Verbindungen zu unterschiedlichen Google-Adressen aufgebaut. Der Grund: Die Entwickler greifen auf diverse Funktionen der Google Play-Dienste zurück, die unter anderem für die Darstellung des Google Kartenmaterials benötigt werden oder das Einloggen über ein bestehendes Google+ Konto ermöglichen.

Facebook: Nutzer haben die Möglichkeit, ihr bestehendes Facebook-Konto für die Anmeldung bei Uber zu verwenden. Eine Verbindung zu Facebook wird erst dann aufgebaut, wenn der Nutzer das Facebook-Anmeldesymbol antippt.

Bezahldienste: Zum bargeldlosen Bezahlen können in Uber Kreditkarteninformationen oder ein PayPal-Account hinterlegt werden. Für das Anmelden und Bezahlen über PayPal werden diverse Verbindungen zu PayPal geöffnet. Doch auch wenn der Nutzer PayPal nicht als Bezahldienst ausgewählt hat, kommuniziert die App kontinuierlich mit den PayPal Servern.

Analyse / Tracker: Direkt nach dem Start der App werden Verbindungen zu dem Marketing-Dienst TUNE, der Analyse-Plattform adjust und dem Absturz-Analyse-Dienst Crashlytics aufgebaut. Unter anderem werden Geräteinformationen, wie das Modell und die Android-Version übertragen. Ebenfalls ausgelesen und übertragen wird eine eindeutige generierte Kennung (Android UUID) und die Google Werbe-ID. Die integrierten Analyse- bzw. Tracking-Bibliotheken verfolgen die Aktionen des Nutzers innerhalb der App.

Wie sicher speichert die App meine Daten?

Für die Nutzung von Uber ist eine Registrierung mit Name, E-Mail Adresse, Handynummer und Passwort notwendig. Alternativ können sich Nutzer von Google+ oder Facebook mit ihrem bestehenden Konto anmelden. Dabei werden auf dem Smartphone unter anderem E-Mail Adresse und Passwort gespeichert.

Das Passwort wird nicht direkt abgelegt, sondern ein „Hash“ davon. Das ist eine Art Prüfsumme, bei der es nahezu unmöglich ist, auf das ursprüngliche Passwort zurück zu rechnen. Diese Maßnahme soll Rückschlüsse auf das eigentliche Passwort erschweren, falls ein Angreifer zum Beispiel Zugang zum Gerät erlangt.

Was sagt die Datenschutzerklärung?

Die im Google Play-Store verlinkte Datenschutzerklärung verweist auf die Webseite „Datenschutzerklärung für Nutzer“ der Uber Technologies Inc. Insgesamt informiert Uber sowohl Nutzer, als auch Uber Fahrer transparent über die Erfassung, Verwendung und Weitergabe der übermittelten Daten bzw. Informationen.

Uber begründet die Datenerfassung mit der Bereitstellung und Verbesserung seiner Dienstleistung. Wir möchten dennoch darauf hinweisen, dass sehr weitreichende Informationen über Nutzer erfasst werden. Darunter die eindeutige IMEI, der Standort oder auch Geräteinformationen wie der aktuelle Batterieladestand.

Was Datenschutz genau ist und wie die gesetzlichen Regelungen in Deutschland sind, erfahren Sie in unserem Hintergrundartikel: Was ist eigentlich Datenschutz?.

Werden nur notwendige Daten erhoben?

Das Prinzip der Datensparsamkeit wird nicht umgesetzt. Es ist nachvollziehbar, wenn für die Diensterbringung Informationen wie zum Beispiel die E-Mail Adresse, Telefonnummer oder auch der Standort erhoben werden. Weniger verständlich ist die Erfassung von eindeutigen Identifizierungsmerkmalen (IMEI- /IMSI-Nummer, WLAN MAC-Adresse) oder die Information, ob das Gerät des Nutzers gerootet wurde.

Die Einbindung externer Tracking-Dienstleister wie adjust oder auch die Integration der Google-Play-Dienste sind hinsichtlich der Datensparsamkeit ebenfalls problematisch. Denn die Verwendung solcher Dienste macht auch immer die Übertragung von Nutzungsdaten erforderlich.

Besonders ungewöhnlich erscheint uns, dass Uber eine Liste mit Apps von PayPal abruft und möglicherweise auf dem Gerät prüft, ob diese Apps dort installiert sind. Der Grund dafür ist unklar. Von einer Risikoanalyse des Gerätes durch Uber bis hin zu einem angepassten Verhalten der App gegenüber verschiedenen Nutzergruppen ist alles möglich.

Weitere Artikel

YouTube-Video 

Was ist Handysucht?

Ab wann beginnt Handysucht und wo handelt es sich nur um Stress? Gerade bei Jugendlichen ist das oft schwer einzuschätzen. Wichtig ist: Es kommt vor allem darauf an, ob man die Kontrolle über das eigene Verhalten hat.

Ansehen
Ratgeber 

Navi-Apps im Check: Waze – Wolf im Schafspelz

Die Navigations-App Waze bezieht seine Geo- und Verkehrsdaten von seiner Nutzergemeinschaft – ist aber ein rein kommerzielles Produkt. Der Dienst schaltet Werbung und speichert den Standortverlauf der Nutzer dauerhaft. Offlinekarten gibt es nicht. Wir sagen: Nicht empfehlenswert.

Mehr
Ratgeber 

Apples App-Store: Marktplatz ohne Alternativen

Nutzer*innen von iPhones und iPads bekommen Apps nur in Apples eigenem App-Store. Das soll ihrer Sicherheit dienen - dafür macht Apple aber auch die Regeln. In der Kritik steht der Store auch wegen seines Umgangs mit Apps anderer Firmen. Alternative iOS-Stores gibt es allerdings nur nach einem Jailbreak.

Mehr
Kostenfallen 

Abofalle? Drittanbieter-Sperre einrichten

Vor Abofallen schützt am besten eine Drittanbieter-Sperre. Für sie gibt es inzwischen viele komfortable Optionen, von denen nur wenige Kunden wissen. Welche das sind, wer sie anbietet und was man beachten muss, erklären wir in unserer Anleitung.

Mehr