Dieses Projekt wurde am 31.12.2024 beendet. Der Beitrag ist auf dem Stand des letzten Update-Datums und wird nicht mehr aktualisiert oder überprüft.
News vom 25.01.2018

Sicherheitslücken in den Tinder-Apps

Ein Artikel von Stefan Mey, veröffentlicht am 24.01.2018, bearbeitet am25.01.2018

In bestimmten Situationen können Angreifer in den Datenverkehr bei der Nutzung von Tinder hineinschauen. Die weltweit meist genutzte Dating-App schützt ihre Verbindungen nicht vollständig durch Verschlüsselung und ermöglicht teilweise Musteranalysen.

Mitarbeiter der IT-Firma Checkmarx haben in der Dating-App Tinder zwei Sicherheitslücken gefunden. Diese lassen sich ausnutzen, wenn Opfer und Angreifer das gleiche ungesicherte WLAN nutzen.

Problem: http statt https

Laut ihrer Analyse könnte man zum einen die Fotos einsehen und manipulieren, die Tinder seinen Nutzern präsentiert. Das sei möglich, weil die Übertragung von Bildern über den unsicheren http-Standard und nicht über die modernere https-Verschlüsselung geschieht. Die Attacke ist in der Android- und der iOS-App möglich.

Musteranalysen trotz Verschlüsselung möglich

Zum anderen konnte das Checkmarx-Team in Testangriffen erkennen, wie Nutzer ein Foto bewerten. Das Partner-Matching bei Tinder basiert darauf, dass die App dem Nutzer Profilbilder anderer User vorsetzt. Per Wischgeste signalisiert man dann Desinteresse oder Interesse. Die Übertragung dieser Informationen vom Smartphone zu den App-Servern ist per https verschlüsselt. Die Datenpakete sind aber unterschiedlich groß, und das lässt Rückschlüsse auf die Bewertung zu.

Zum Zeitpunkt, als das Checkmarx-Team die Angriffe mit einem eigens gebastelteten Programm ausgeführt hat, war das Auslesen des Wischverhaltens in der Android-Version von Tinder möglich. Die Mitarbeiter merken aber an, dass das seit der letzten Version deutlich schwerer ist, da die App seitdem die Sicherheitsmethode des Certificate Pinnings einsetzt.

Laut einem Cnet-Artikel hat Checkmarx das Dating-Unternehmen bereits vor einigen Monaten auf die Lücken aufmerksam gemacht.

Dating-Apps stehen immer wieder wegen ihres Umgangs mit Daten in der Kritik. Zuletzt Ende 2017 hatte das IT-Sicherheitsunternehmen Kaspersky auf die ungesicherte Datenübertragung sowie auf weitere Lücken bei Tinder und anderen Apps aufmerksam gemacht.

Weitere Artikel

Ratgeber 

Wir suchen Verstärkung

Schon lange keinen neuen Beiträge mehr auf mobilsicher.de gesehen? Kein Wunder - unser Team hat Winterpause gemacht. Ab Mai geht es bei uns mit neuen Inhalten weiter. Dafür suchen wir noch Verstärkung:

Mehr
YouTube-Video 

iOS 15: Welche neuen Funktionen sind sinnvoll?

iOS 15 ist da – und damit gibt’s auch neue Einstellungen für die Privatsphäre. Sie können jetzt beim Surfen Ihre IP-Adresse verschleiern, Mail-Tracking verhindern und einen Datenschutzbericht für Apps erstellen. Aber ist das alles wirklich sinnvoll? Das erfahren Sie im Video.

Ansehen
Ratgeber 

Dauerbrenner Phishing

Phishing ist eine altbekannte Methode, die immer wieder in neuem Gewand auftaucht. Dabei werden Nutzer*innen durch gefälschte Nachrichten animiert, Zugangsdaten preiszugeben oder Schadprogramme zu installieren. Welche Maschen es gibt und wie du sie erkennst, erklären wir hier.

Mehr
Ratgeber 

Musical.ly: Unheimliche Parallelwelt im Kinderzimmer

Das soziale Netzwerk musical.ly beflügelt bei Kindern und Jugendlichen den Traum, selbst ein Popstar zu sein. Aber ist die Plattform zum Teilen selbstgedrehter Musikvideos harmlos? Ein Leserinnenhinweis führte uns in eine erschreckende Welt voll offener sexueller Nötigung von Mädchen.

Mehr