Runtastic Tester entdecken Sicherheitslücke in Sport-App

Eine Sicherheitsfirma hat herausgefunden, dass die App Runtastic unter anderem das Nutzerpasswort unverschlüsselt überträgt. Der Hersteller hat ein Update angekündigt.

Fitness-App Runtastic: Fehlende Verschlüsselung der Daten als Sicherheitsrisiko

Fitness-App Runtastic: Fehlende Verschlüsselung der Daten als Sicherheitsrisiko


Mit über 24 Millionen Downloads weltweit zählt Runtastic zu den beliebtesten Fitness-Apps für Smartphones: Sowohl in Apples App Store als auch bei Google Play erhält die Software, mit der sich sportliche Aktivitäten aufzeichnen lassen, vor allem positive Bewertungen. Doch nun steht das Erfolgsprodukt aus Österreich in der Kritik.

MediaTest Digital - eine Firma, die sich mit der Sicherheit von Apps beschäftigt - berichtet, dass Runtastic in seinen bisherigen Versionen eine Sicherheitslücke aufweist. Die App-Tester haben nach eigenen Angaben herausgefunden, dass die Software neben der IMEI- beziehungsweise UDID-Nummer des Smartphones und dem Nutzernamen auch das Passwort des Nutzers unverschlüsselt an die Server von Runtastic übermittelt.

Die Android- und die iOS-Version der App betrifft die Sicherheitslücke laut MediaTest Digital in ähnlicher Weise. Ein potentielles Risiko ist die fehlende Verschlüsselung der Daten, wenn man sich als Smartphone-Nutzer in ein W-Lan-Netzwerk einloggt. Dort könnten die Informationen unter Umständen von anderen Nutzern mitgelesen werden, sofern sich diese im selben Netzwerk befinden.

Updates sind angekündigt

Wie MediaTest Digital SPIEGEL ONLINE mitteilt, hat einer der Runtastic-Gründer den Testern gegenüber bestätigt, dass die bisherigen Runtastic-Versionen das nicht gesicherte HTTP-Protokoll zur Datenübertragung nutzen. Ein Update der iOS-Version, inklusive vergleichsweise sicherer HTTPS-Übertragung, ist bereits am 18. April bei Apple zur Veröffentlichung eingereicht worden. Wann genau es im App Store erscheinen wird, ist unklar und hängt davon ab, wie schnell Apple seine eigenen Tests der App abschließt. Runtastic erwartet die Freigabe noch in dieser Woche.

Auch die Android-Version soll noch in dieser Woche überarbeitet und in einer aktualisierten Fassung in den Play Store gestellt werden. Die beiden Runtastic-Ableger für Radfahrer, Runtastic Road Bike und Runtastic Mountain Bike, sind gerade erst in neuen Versionen veröffentlicht worden und verwenden dem Hersteller zufolge bereits das HTTPS-Protokoll.

mbö



Forum - Diskutieren Sie über diesen Artikel
insgesamt 12 Beiträge
Alle Kommentare öffnen
Seite 1
A.Hello 23.04.2013
1. Gleich das nächste Update bitte!
Wenn man seine Laufergebnisse dann fröhlich bei Facebook posten möchte muss man feststellen, dass die App versucht eine Einwilligung dafür zu bekommen, dass dabei gleich alle Freunde zum Runtastic-Server übermittelt werden. Was soll das bitte? Weg damit!
neu_ab 23.04.2013
2. früher war das grösste Risiko beim Laufen...
... noch die Gefahr, hinzufallen & sich die Knie aufzuschürfen. & ich finde es jedesmal lächerlich, all diese Jogger zu sehen mit ihrer Verkabelung & ihren Gadgets, um ja alle möglichen Parameter aufzuzeichnen. Deswegen sage ich nur: Sicherheitslücken in Sport-Apps? Lächerlich!
titeroy 23.04.2013
3. wieso
kommt die App ueberaupt an das Pwd. Ist doch defectivebydesign bei den Smartphones, wenn das so ist.
moev 23.04.2013
4.
Zitat von titeroykommt die App ueberaupt an das Pwd. Ist doch defectivebydesign bei den Smartphones, wenn das so ist.
Weil der Nutzer es für die App eingibt.
676718 23.04.2013
5. Lächerlich
So so lieber neu_ab, Sie finden das lächerlich. Mir hilft es beim Training die gelaufene Strecke und die Zeit zu messen. Geht auch anders, mir macht es so aber Spaß.Spaß macht mir auch, mir solche Kommentatoren wie Sie vorzustellen während ich" so vor mich hin sportle". Zu der Zeit liegen diese vermutlich vollfett auf der Couch und pupsen vor sich hin. Da bin ich dann doch lieber an der frischen Luft. Egal ob mit oder ohne Technik.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.