Der E-Roller Trend und die IT-Sicherheitsrisiken
Wer hat sie diesen Sommer noch nicht gesehen! Die Verbreitung der E-Scooter schreitet auch in Deutschland unaufhaltsam voran. In diversen Großstädten wie Hamburg, München, Köln oder Hannover erobern die Roller von Sharing-Diensten zunehmend das Stadtbild. Doch wie ist es um die sensiblen Daten der Nutzer bestellt, die ihre Rollerfahrten per Smartphone App in Verbindung mit ihrer Kreditkarte oder anderen Zahlungsmitteln durchführen?
Aktuelle Tests der App Security Spezialisten von APPVISORY haben ergeben, dass eine Betriebssystemversion einer App eines Scooter-Sharing-Anbieters höchst kritisches Verhalten an den Tag legen kann. Laut APPVISORY sollte zunächst auf die Bezahlfunktionen der App sowohl in der iOS-Version (3.1.9) als auch in der Android-Version (3.1.6) geachtet werden. Diese sind sicher implementiert, jedoch können hier auch erhebliche Datenschutzmängel aufgefunden werden. Die unverschlüsselte Übertragung von Standortdaten sowohl des Fahrzeugs als auch des Smartphones bei der Nutzung, wird wohl von keinem Nutzer gern gesehen. Denn mithilfe dieser Daten können unbekannte Dritte Bewegungsprofile der Nutzer erstellen. Auch sollte darauf geachtet werden, ob die App ein längst verbotenes Tracking-Item, die Android ID, nutzt, dessen Nutzung seit einigen Jahren von Google offiziell untersagt ist. Der Grund: Sie ist vom Nutzer nur schwer änderbar und lässt so eine Identifikation der natürlichen Person zu.
Die bunten Fortbewegungsmittel bringen nicht nur Vorteile mit sich. (Quelle: Pexels / Magda Ehlers)
Tipp: Überprüfen Sie, ob die jeweiligen Empfänger der Daten transparent in der Datenschutzerklärung genannt werden.
Nutzer sollten sich dennoch im Klaren darüber sein, dass nicht nur der Roller selbst per GPS getracked wird, sondern zusätzlich auch das Smartphone des Nutzers. Das Tracking des Smartphones endet jedoch mit Abstellen des Rollers. Allerdings ist es den Testern gelungen, für die Rollersuche einen beliebigen Standort und Radius anzugeben. Über diesen Umweg lässt sich einfach herausfinden, wo welcher Roller samt Kennzeichen aktuell verfügbar ist. Wenn also beispielsweise ein Stalker wissen möchte, wo eine Person mit einem bestimmten Nummernschild hingefahren ist, muss er nur per Software an jedem beliebigen Gerät beobachten, an welchem Standort dieser Roller wieder als verfügbar auftaucht. Hierbei handelt es sich explizit nicht um ein alleiniges Problem der E-Scooter-Apps, sondern um ein systemisches Problem aller digital gesteuerten, und mit GPS-Modul versehenen Sharing-Fahrzeuge mit Kennzeichen. An dieser wird jedoch Nachholbedarf seitens der Hersteller deutlich, um die besagten Daten nicht so einfach für Dritte zugänglich zu machen. Dass diese Dritten während der Fahrt einen Roller auch hupen lassen können, ist dabei nur ein augenscheinlich unangenehmer Nebeneffekt, der im Straßenverkehr jedoch zu einer ernsthaften Gefährdung werden kann.
Quelle Titelbild: pixabay // ThomasWolter
