Wischen mit Risiko:
Tinder mit großer Sicherheitslücke

Veröffentlicht: 22. Februar 2018

Die bekannteste Dating-App der Welt hat Lücken bei der Datensicherheit: Tinder legt offen, ob seine Nutzer nach rechts oder links swipen – und ob es zu einem Match kommt. Eigentlich sollte man heutzutage annehmen können, dass jede App, die persönliche Daten vom eigenen Telefon in die Cloud schickt, diese verschlüsselt. 

Damit beispielsweise ein Angreifer sie in einem öffentlichen WLAN nicht einfach so abgreifen kann. Vor allem für Online-Dating-Apps sollte dieser Schutz das Mindeste sein. Für die erfolgreichste Dating-App der Welt trifft das jedoch nicht zu: Tinder verschlüsselt weder Fotos, noch Swipes und Matches ausreichend.

Was gibt Tinder preis?

Sicherheitsforscher der Firma Checkmarx aus Tel Aviv haben gezeigt, dass bei Tinder an einigen Stellen die als Standard geltende HTTPS-Verschlüsselung fehlt. Deshalb ist es möglich, jedes Foto abzugreifen, das in der Tinder iOS- oder Android-App aufgenommen wird. Ein Angreifer kann sogar sein eigenes Foto in den Fotostream der App laden.Andere Daten auf Tinder sind eigentlich mit HTTPS verschlüsselt.

Aber dennoch war es den Forschern möglich, einzelne Aktionen der Nutzer zu unterscheiden. Ein Angreifer im selben WLAN kann problemlos sehen, ob eine Person nach rechts oder links geswiped hat – und ob es dabei zu einem Match kam. Ein bisschen so, wie wenn ein Hacker dem Opfer beim Tindern über die Schulter schauen würde.

Mögliches Erpressungspotenzial

Laut der Sicherheitsforscher sei nicht nur Voyeurismus das Problem, sondern es gäbe ein echtes Potenzial für Erpressung. Um zu zeigen, wie gefährlich das ist, haben die Forscher eine Software namens TinderDrift programmiert.

Was sollte ich bei der Verwendung beachten?
Sicherer Umgang mit Dating-Apps

Läuft sie auf einem Laptop, der mit demselben WLAN wie ein Tinder-Nutzer verbunden ist, dann speichert es automatisch alles, was in der App passiert.Die zentrale Schwachstelle: Tinder hat keine ausreichende HTTPS-Verschlüsselung.

Die App überträgt Bilder ohne HTTPS, was es relativ einfach macht, sie abzufangen.

Verschlüsselte Daten leicht zu deuten

Den Forschern gelang es zusätzlich, weitere Daten zu erraten, die Tinder eigentlich verschlüsselt. Mehrere Aktionen in der Tinder-App sind auch in verschlüsselter Form leicht zu erkennen, weil ihre Datenpakete immer gleich sind. Jedes Swipen nach links wird in 278 Bytes übertragen, während ein Swipen nach rechts stets 374 Bytes hat.

Kommt es zu einem Match, wird es mit 581 Bytes übertragen. Zusammen mit den zeitgleich übertragenen Fotos kann also rekonstruiert werden, ob es zu einem Match kam.


Es ist die Verbindung von zwei kleinen Schwachstellen, die ein großes Problem für die Privatsphäre schaffen

so Yalon. 

Tinder bereits seit November informiert

Checkmarx sagt, dass Tinder bereits im November über das Problem informiert wurde. Bisher sei es jedoch nicht behoben worden. Gegenüber WIRED sagt Tinder dazu:


Wie jedes andere Technologie-Unternehmen arbeiten wir ständig daran, unsere Verteidigung im Kampf gegen bösartige Hacker zu verbessern.

Außerdem seien die Profilbilder sowieso öffentlich verfügbar. Tinder fügte hinzu, dass die Desktop-Version der App mit HTTPS verschlüsselt sei und zusätzlicher Schutz geplant ist: „Wir arbeiten daran, die Bilder in unserer App auch zu verschlüsseln. Wir werden jedoch keine weiteren Details preisgeben, welche Sicherheitsmaßnahmen wir dafür ergreifen, um Hackern keine Tipps zu geben."

Bis Tinder entsprechend seine App angepasst hat, sollte man im Hinterkopf behalten: Jedes Wischen auf Tinder ist so öffentlich wie das WLAN, mit dem man verbunden ist.

Quelle: wired.de

Share!
Von diesem Anbieter stammt die News:

Tinder App

Swipen. Matchen. Chatten.
Unsere Bewertung: