Mitarbeiter der IT-Firma Checkmarx haben in der Dating-App Tinder zwei Sicherheitslücken gefunden. Diese lassen sich ausnutzen, wenn Opfer und Angreifer das gleiche ungesicherte WLAN nutzen.
Problem: http statt https
Laut ihrer Analyse könnte man zum einen die Fotos einsehen und manipulieren, die Tinder seinen Nutzern präsentiert. Das sei möglich, weil die Übertragung von Bildern über den unsicheren http-Standard und nicht über die modernere https-Verschlüsselung geschieht. Die Attacke ist in der Android- und der iOS-App möglich.
Musteranalysen trotz Verschlüsselung möglich
Zum anderen konnte das Checkmarx-Team in Testangriffen erkennen, wie Nutzer ein Foto bewerten. Das Partner-Matching bei Tinder basiert darauf, dass die App dem Nutzer Profilbilder anderer User vorsetzt. Per Wischgeste signalisiert man dann Desinteresse oder Interesse. Die Übertragung dieser Informationen vom Smartphone zu den App-Servern ist per https verschlüsselt. Die Datenpakete sind aber unterschiedlich groß, und das lässt Rückschlüsse auf die Bewertung zu.
Zum Zeitpunkt, als das Checkmarx-Team die Angriffe mit einem eigens gebastelteten Programm ausgeführt hat, war das Auslesen des Wischverhaltens in der Android-Version von Tinder möglich. Die Mitarbeiter merken aber an, dass das seit der letzten Version deutlich schwerer ist, da die App seitdem die Sicherheitsmethode des Certificate Pinnings einsetzt.
Laut einem Cnet-Artikel hat Checkmarx das Dating-Unternehmen bereits vor einigen Monaten auf die Lücken aufmerksam gemacht.
Dating-Apps stehen immer wieder wegen ihres Umgangs mit Daten in der Kritik. Zuletzt Ende 2017 hatte das IT-Sicherheitsunternehmen Kaspersky auf die ungesicherte Datenübertragung sowie auf weitere Lücken bei Tinder und anderen Apps aufmerksam gemacht.
Mehr zum Thema bei Mobilsicher:
- Der Hintergrundtext „Wie sicher sind Internetverbindungen von Apps?“ verrät Ihnen Grundlegendes über Datensicherheit beim mobilen Internet.
- Im November 2017 haben wir die Android-App von Tinder untersucht. Wieso wir deren Umgang mit Daten kritisieren, erfahren Sie im Artikel "Dating-App Tinder im Test (Android)".
- Im Text „Dating-App Tinder im Test (iOS): Nichts für Geheimnisse“ beschreiben wir, wie es bei iOS-Version des Dating-Dienstes in puncto Datenschutz und Datensicherheit aussieht.
- In der Nachricht „Dating-Apps: Lücken in der Datensicherheit“ hatten wir den Kaspersky-Test neun bekannter Dating-Apps zusammengefasst.