1000PS, Schlüssel steckt

Beim Kauf gebrauchter Fahrzeuge ist Vorsicht geboten. Wohl dem, der das nötige Fachwissen hat, um die Maschine zu inspizieren. Ähnliches gilt bei der Nutzung von Apps, und so beschloss ein sachkundiger c’t-Leser – oder Leserin –, die Android-App der Motorradseite 1000PS zu dekompilieren, bevor er ihr relevante Daten anvertraute. 1000PS ist ein im deutschsprachigen Raum angesiedeltes Rundumangebot für Motorradfans, von Testberichten über gewerbliche Händler bis zur Gebrauchtradbörse ist alles dabei. Über 450.000 registrierte Nutzer hat die Seite nach eigenen Angaben.

Wie sich herausstellte, war die Skepsis angebracht: Die zugehörige App „Motorrad Marktplatz“ griff über eine HTTP-Schnittstelle auf die Server von 1000PS zu. Dieses RESTful API bot Methoden, um Profilinformationen beliebiger Nutzer abzufragen, Passwörter zurückzusetzen und vieles mehr – alles ohne Authentifizierung. Weil er auf eine Kontaktaufnahme per E-Mail keine Antwort von 1000PS erhalten habe und die Lücke weiterhin offen stand, wandte sich der Leser an c’t.