Abo
  • IT-Karriere:

20.000 Accounts erstellt: Hacker erschleichen sich Uber-Freifahrten

Mit einem einfachen Trick gelingt es, die Verifizierung der Telefonnummer bei neuen Accounts von Uber und ähnlichen Services zu umgehen - und sich etwa Freifahrten zu erschleichen. Beim Uber-Konkurrenten Lyft ist damit sogar die Übernahme bestehender Accounts möglich.

Artikel veröffentlicht am , Hanno Böck
Die Uber-App nutzt eine API, mit der sich trivial zehntausende Accounts anlegen lassen.
Die Uber-App nutzt eine API, mit der sich trivial zehntausende Accounts anlegen lassen. (Bild: Nicolas Maeterlinck/AFP/Getty Images)

Mit einem einfachen Brute-Force-Angriff lassen sich über die API des Fahrdienstleisters Uber innerhalb kürzester Zeit unzählige Accounts anlegen. Graeme Neilson von der Firma Redshield und Vladimir Wolstencroft von der Firma Aura Information Security haben diese Möglichkeit auf der Troopers-Konferenz in Heidelberg präsentiert. Damit sind theoretisch Freifahrten möglich, es lässt sich aber auch die Preisbildung von Uber manipulieren. Ein noch gravierenderes Problem besteht beim Uber-Konkurrenten Lyft.

Stellenmarkt
  1. operational services GmbH & Co. KG, Braunschweig
  2. über Kienbaum Consultants International GmbH, Stuttgart

Die Uber-App kommuniziert mit den Servern über eine JSON-API. Der Datenverkehr zum Server wird mittels TLS verschlüsselt, die App nutzt dabei Key Pinning, um eine Verbindung mit anderen Servern zu verhindern. Somit ist eine triviale Analyse des Datentraffics nicht möglich. Doch dieses Pinning zu umgehen, war relativ einfach: Nach dem Entpacken der Android-APK für die Uber-App gelang es den Forschern, einen zusätzlichen Root-Key in den Keystore der App einzufügen. Anschließend ließ sich der Datenverkehr mittels eines TLS-Proxys beobachten, genutzt wurde dafür das Tool Burp Suite.

Viele Daten werden übertragen

Aus den Daten ging schnell hervor, dass die Nutzung von Uber aus Datenschutzgründen nicht ganz unproblematisch ist. Die App überträgt eine Menge an Daten über ihre Nutzer. Einige davon sind nachvollziehbar, etwa die aktuelle GPS-Positionierung. Aber auch Daten wie der aktuelle Batteriestatus oder die Nutzung von WLAN-Netzen werden an Uber übertragen. Der Konkurrent Lyft überträgt sogar, ob ein User die App vom Konkurrenten Uber auf demselben Smartphone installiert hat.

Die API ermöglicht auch Dritten, potenziell problematische Informationen auszulesen. Durch entsprechende API-Anfragen kann man etwa sämtliche Uber-Fahrer in einer ganzen Stadt lokalisieren.

Uber bietet Neukunden einen Promo-Code, der Fahrten zum Preis von 20 US-Dollar ermöglicht. Insofern könnte man sich, um den Dienst kostenlos zu nutzen, schlicht permanent neue Accounts anlegen. Die Uber-API ermöglicht das automatisiert. Doch dabei gibt es eine Hürde: Ein Account ist an eine Telefonnummer gebunden - und diese wird mittels eines vierstelligen Codes geprüft, der an diese Nummer als SMS geschickt wird.

Zunächst suchten Neilson und Wolstencroft nach einer Methode, möglichst günstig an eine Telefonnummer zu kommen. Sie stießen dabei auf den Service Twilio, bei dem man Telefonnummern in großer Zahl für einen US-Dollar pro Nummer nutzen und dort SMS empfangen kann. Die Ironie dabei: Uber selbst nutzt ebenfalls Twilio für seine Services. Damit gelang es, zum Preis von einem US-Dollar einen Account anzulegen, der anschließend einen Freifahrtschein im Wert von 20 US-Dollar bietet.

Vierstelliger Code lässt sich durch Raten umgehen

Doch Accounts lassen sich noch einfacher und gänzlich ohne Kosten anlegen. Da der per SMS verschickte Verifizierungscode lediglich vier Stellen lang ist, besteht bereits bei einmaliger Eingabe des Codes eine Chance von 1:10.000, dass man den richtigen Code errät, wenn man lediglich einen Zufallswert verwendet. Die API lässt zudem mehrere Versuche beim Eingeben des Codes zu, nach einigen Fehlversuchen wird ein neuer Code versendet. Ist man nun in der Lage, in hoher Geschwindigkeit neue Accounts anzulegen, kann man durch simples Raten der Codes Accounts anlegen, ungefähr jeder zehntausendste Versuch, einen Code einzugeben, wird klappen. Offenbar implementiert Uber keinerlei Ratelimiting. Neilson und Wolstencroft gelang es, 20.000 Uber-Accounts in kurzer Zeit erfolgreich anzulegen.

Neben der offensichtlichen Möglichkeit, sich durch derartige Accounts unbegrenzt Promo-Codes zu erschleichen, sind weitere Angriffsszenarien denkbar. So könnte man schlicht sämtliche Uber-Fahrer in einer Stadt beschäftigen, indem man sinnlose Fahrten bucht. Da Uber seine Preise automatisiert bildet und bei hoher Nachfrage die Preise ansteigen, ließen sich damit auch die Preise für Uber-Kunden manipulieren. Denkbar wäre etwa, dass Uber-Fahrer selbst derartige Techniken anwenden, um höhere Preise zu erzielen.

Die Brute-Force-Technik zum Anlegen von Accounts funktioniert auch beim Uber-Konkurrenten Lyft. Doch hier ist noch eine weitere, weit gravierendere Lücke zu finden: Errät man hier korrekt einen Verifizierungscode für eine Telefonnummer, für die bereits ein Account existiert, kann man diesen Account - samt Zahlungsinformationen - übernehmen.

Dass ein vierstelliger SMS-Code keine sonderlich sichere Authentifizierungsvariante ist, sei eigentlich bekannt, betonen Neilson und Wolstencroft. Sie hätten die Lücke daher auch nicht an die Firmen gemeldet - es handle sich um eine Designentscheidung. Die beiden Sicherheitsforscher gehen nicht davon aus, dass Uber und Lyft ihre Anmeldeprozedur ändern. Denn die Firmen hätten vor allem ein Interesse daran, möglichst viele Kunden zu bekommen - und würden daher die Anmeldeprozedur so einfach wie möglich gestalten.



Anzeige
Top-Angebote
  1. 119,90€ + Versand (Vergleichspreis 144,61€ + Versand)
  2. 199€
  3. (aktuell u. a. AMD Ryzen Threadripper 1920X für 209,90€ statt 254,01€ im Vergleich und be...
  4. (u. a. Logitech G502 Proteus Spectrum für 39€ und Nokia 3.2 DS 16 GB für 84,99€ - Bestpreise!)

User_x 18. Mär 2016

gar nicht. Schau dir mal die Baukästen an, die es so für Apps gibt. Gibt sowas für die...

hannob (golem.de) 18. Mär 2016

Also ganz genaugenommen war die Formulierung natürlich nicht korrekt. Es wird nicht exakt...

Salzbretzel 18. Mär 2016

Also, ich kann mir Pro Stunde 1000000 Mail Adressen Erstellen. Pro Account kann ich dies...


Folgen Sie uns
       


Lenovo Ideapad S540 - Hands on (Ifa 2019)

Das Ideapad S540 hat ein fast unsichtbares Touchpad, das einige Schwierigkeiten bereitet. Doch ist das Gerät trotzdem ein gutes Ryzen-Notebook? Golem.de schaut es sich an.

Lenovo Ideapad S540 - Hands on (Ifa 2019) Video aufrufen
IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

    •  /