News vom 25.01.2018

Sicherheitslücken in den Tinder-Apps

Ein Artikel von , veröffentlicht am 24.01.2018, bearbeitet am25.01.2018

In bestimmten Situationen können Angreifer in den Datenverkehr bei der Nutzung von Tinder hineinschauen. Die weltweit meist genutzte Dating-App schützt ihre Verbindungen nicht vollständig durch Verschlüsselung und ermöglicht teilweise Musteranalysen.

Mitarbeiter der IT-Firma Checkmarx haben in der Dating-App Tinder zwei Sicherheitslücken gefunden. Diese lassen sich ausnutzen, wenn Opfer und Angreifer das gleiche ungesicherte WLAN nutzen.

Problem: http statt https

Laut ihrer Analyse könnte man zum einen die Fotos einsehen und manipulieren, die Tinder seinen Nutzern präsentiert. Das sei möglich, weil die Übertragung von Bildern über den unsicheren http-Standard und nicht über die modernere https-Verschlüsselung geschieht. Die Attacke ist in der Android- und der iOS-App möglich.

Musteranalysen trotz Verschlüsselung möglich

Zum anderen konnte das Checkmarx-Team in Testangriffen erkennen, wie Nutzer ein Foto bewerten. Das Partner-Matching bei Tinder basiert darauf, dass die App dem Nutzer Profilbilder anderer User vorsetzt. Per Wischgeste signalisiert man dann Desinteresse oder Interesse. Die Übertragung dieser Informationen vom Smartphone zu den App-Servern ist per https verschlüsselt. Die Datenpakete sind aber unterschiedlich groß, und das lässt Rückschlüsse auf die Bewertung zu.

Zum Zeitpunkt, als das Checkmarx-Team die Angriffe mit einem eigens gebastelteten Programm ausgeführt hat, war das Auslesen des Wischverhaltens in der Android-Version von Tinder möglich. Die Mitarbeiter merken aber an, dass das seit der letzten Version deutlich schwerer ist, da die App seitdem die Sicherheitsmethode des Certificate Pinnings einsetzt.

Laut einem Cnet-Artikel hat Checkmarx das Dating-Unternehmen bereits vor einigen Monaten auf die Lücken aufmerksam gemacht.

Dating-Apps stehen immer wieder wegen ihres Umgangs mit Daten in der Kritik. Zuletzt Ende 2017 hatte das IT-Sicherheitsunternehmen Kaspersky auf die ungesicherte Datenübertragung sowie auf weitere Lücken bei Tinder und anderen Apps aufmerksam gemacht.

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Messenger 

Messenger-App Briar kurz vorgestellt

In Sachen Anonymität schlägt Briar alle anderen von uns vorgestellten Messenger. Briar-Nutzer kommunizieren über das Anonymisierungsnetzwerk Tor und es fallen keinerlei Metadaten an. Selbst die IP-Adresse bleibt geheim. Massentauglich ist das junge Projekt aber noch nicht, da wichtige Funktionen fehlen.

Mehr
Verkehr & Navigation 

Navi-Apps im Check: OsmAnd – gute Alternative

OsmAnd ist quelloffen und nutzt Kartenmaterial des nicht-kommerziellen Projekts OpenStreetMap. Die werbefreie App überlässt es auf Android den Nutzern, ob sie zahlen wollen oder nicht. OsmAnd ist eine datensparsame Alternative, für kritikwürdig halten wir jedoch die Integration eines Facebook-Analyse-Dienstes.

Mehr
Betrug und Phishing 

Werbe-Apps: Von nervig bis gefährlich

Viele App-Anbieter*innen blenden in ihre Produkte Werbung ein, um damit Geld zu verdienen. Doch nicht alle halten sich dabei an die Regeln. Wir erklären, wie viel Werbung erlaubt ist und was Sie gegen zu viel Werbung tun können.

Mehr
YouTube-Video 

Schritt für Schritt: Handy sicher einstellen (Android) | mobil & safe

Ein neues Handy erschlägt am Anfang mit Einrichtungsschritten: System-Abfragen, Google-Einstellungen, empfohlene Apps. Wir erklären Schritt für Schritt, was hinter den Abfragen steckt, was Sie ignorieren können - und wo sich ein genauer Blick lohnt.

Ansehen