News vom 25.09.2018

Schwule Dating-App Grindr: Ortung von Nutzern noch immer möglich

Ein Artikel von , veröffentlicht am 24.09.2018, bearbeitet am25.09.2018

Grindr ist eine der größten Dating-Plattformen für schwule und bisexuelle Männer. Über eine Schwachstelle ist es möglich, den genauen Standort von Nutzern der App zu ermitteln. In manchen Regionen kann das für Nutzer lebensgefährlich sein. Der Betreiber weiß seit Jahren von dem Problem, trotzdem funktioniert der Angriff bis heute.

Grindr ist eine weltweit genutzte Dating-App für schwule und bisexuelle Männer. Sie zeigt Nutzer in der Umgebung an. Zu jedem Nutzer erscheint standardmäßig die Angabe, wie weit er vom eigenen Standort entfernt ist.

Ein externes, Desktop-basiertes Programm mit dem Namen „fuckr“ setzt auf diesen Distanzangaben auf, um den genauen Standort von Nutzern der schwulen Dating-App Grindr zu bestimmen.

Grindr weiß schon seit Jahren von dem Problem: bereits 2014 hatte ein Sicherheitsforscher auf diese Attacke aufmerksam gemacht. Dennoch hat der Anbieter bis heute keine Maßnahme ergriffen, um den Angriff zu unterbinden. Das "fuckr"-Programm funktioniert bis heute. Darüber hatte das Blog Queer Europe im September 2018 berichtet.

Der Quellcode der fuckr-App befand sich seit 2015 auf der Programmplattform Github. Als Reaktion auf den Bericht hat Github den Eintrag am 13.09.2018 gelöscht. Wie die Seite BuzzFeed recherchiert hat, gibt es aber verschiedene aktuelle Klone von fuckr.

So funktioniert der Angriff

Das Programm "fuckr" simuliert Grindr-Nutzer mit unterschiedlichen Standorten, greift die Distanzangaben zu anderen Nutzern ab und wertet sie aus. Dabei wendet das Programm eine Methode namens Trilateration an: Ist für eine Zielperson die Entfernung zu drei Punkten in der Umgebung bekannt, lässt sich ihr genauer Standort errechnen.

Da die Distanzangaben der Grindr-App extrem präzise sind, kann fuckr auf diese Art sehr genaue Standorte aller Grindr-Nutzer in einer Region ermitteln. Im Programm kann man sich dann in exakt verortbare Einzelprofile hineinklicken.

Über die App-Einstellungen können Nutzer deaktivieren, dass Grindr anderen die Entfernung anzeigt.

Das erschwert die Trilaterations-Attacke, die Schutzmaßnahme lasse sich allerdings aushebeln, wie es im Blogpost von Queer Europe heißt. Denn Grindr sortiert die angezeigten Nutzer nach ihrer Entfernung zum jeweils eigenen Gerät. Wenn nur ein Nutzer seine Entfernungsdaten verbirgt, ließe sich aufgrund seiner Position in der Liste dessen ungefähre Entfernung dennoch leicht berechnen.

Kritik: Grindr gefährdet seine Nutzer

Die Schwachstelle stellt nicht nur eine extreme Verletzung der Privatsphäre dar, sondern kann sogar eine ernste Gefahr für Leib und Leben sein: die App wird auch in Ländern genutzt, die Homosexualität unter Strafe stellen. Wenn eine App es ermöglicht, Nutzer zu lokalisieren, kann das für die Betroffenen gefährlich sein. Es gab beispielsweise Berichte, dass die Polizei in Ägypten Fake-Profile auf Grindr nutzt, um schwule Männer zu jagen.

Nach Einschätzung von Experten wäre es nicht schwer, das Problem zu lösen oder zumindest stark einzudämmen. Der Blogger von Queer Europe schlägt zum Beispiel folgende Maßnahmen vor:

  • Das fuckr-Programm greift auf eine Schnittstelle (API) des Dienstes zu und führt darüber Massenabfragen durch. Solche Massenabfragen könnte man leicht erkennen und blockieren.
  • Die Entfernungsanzeige in der App könnte standardmäßig deaktiviert sein und nur durch Opt-In aktiv werden.
  • Grindr könnte die Genauigkeit der Distanzangaben reduzieren.

Keine dieser Maßnahmen hat der Betreiber der App bislang ergriffen.

Die Dating-App Grindr stand in der Vergangenheit immer wieder wegen des Umgangs mit Daten in der Kritik. Nutzer können in der App ihren HIV-Status angeben. Im Frühjahr 2018 hatte ein norwegisches Forschungsinstitut herausgefunden, dass Grindr neben anderen sensiblen Daten auch den HIV-Status von Nutzern an zwei Analysedienste weitergibt.

Datensparsamkeit

So deaktivieren Sie die Anzeige Ihrer Entfernung zu anderen Nutzern: tippen Sie in der App auf Ihr Profil > tippen Sie auf das Zahnrad rechts oben, um in die Einstellungen zu kommen > scrollen Sie nach unten und tippen Sie auf den Schieberegler in der Zeile „Meine Entfernung anzeigen“.

Geschrieben von

E-Mail

mey@jb-schnittstelle.de

PGP-Key

0x3D753571A5FEF1F4

Fingerprint

89A8 1651 BB1F 49E0 7F6E 610D 3D75 3571 A5FE F1F4

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Ratgeber 

Google Pay: Mobile Geldbörse oder globale Kreditauskunft?

Mit der App Google Pay kann man an der Kasse per Handy bezahlen. Das kann sicherer sein als per Kreditkarte. Aus Datenschutzsicht ist der Dienst aber nicht empfehlenswert: Google erfasst die gesamte Kaufhistorie, wertet sie aus und teilt sie mit Tochterunternehmen.

Mehr
Ratgeber 

Passwort-Manager richtig verwenden

Diese Nachricht gibt es inzwischen fast täglich: „Onlinedienst gehackt, tausende Anmeldedaten gestohlen“. Auch wenn es nervt: Anwender müssen sich selbst um die Sicherheit ihrer Online-Konten kümmern. Ein Passwort-Manager kann dabei helfen.

Mehr
Ratgeber 

Android ohne Google

Google und Android, das gehört eng zusammen. Googles Dienste und Apps sind fest in das Betriebssystem integriert. Und viele Android-Nutzer haben für ihr Gerät ein Google-Konto eingerichtet. Was aber, wenn man Android ohne die Google-Dienste nutzen möchte?

Mehr
Ratgeber 

Auflösung

Natürlich ist unser Quiz nur als Spaß gemeint und nicht als ernsthafte Beurteilung. Trotzdem stecken hinter den einzelnen Fragen und Antworten ganz ernsthafte Sachverhalte. Welche, erfahren Sie hier.

Mehr