Dating App Grindr:
Erneut kritische Sicherheitslücke

Veröffentlicht: 21. Oktober 2020

Ja, Grindr ist eine der größten Social-Networking-Apps für schwule, bi, trans und queere Menschen. Allerdings werden schon fast mit einer unangenehmen Regelmäßigkeit Sicherheitslücken enttarnt. So auch erneut im Oktober.

Dabei ist die erneute Sicherheitslücke kein Pappenstiel, denn den Angreifern reichte bereits die Mail-Adresse eines Nutzers, um sein Konto komplett übernehmen zu können.

Fatales Zurücksetzen des Passworts

Der Prozess mittels Reset-Links das Passwort zurückzusetzen ist nicht ungewöhnlich. Dabei erhält der Nutzer eine Mail, die die Aufforderung enthält, das Zurücksetzen des Passworts zu bestätigen. Zudem soll ein neuer Zugangsschlüssel eingegeben werden.

Im Falle der Grindr-Sicherheitslücke wurde diese Funktion nun zum kritischen Faktor. Die Angreifer lasen einfach die Informationen des Links aus und konnten sich so Zugriff auf relevante Daten sichern.

Konkrete Lücke

Der Security-Spezialist Wassime Bouimadaghene aus Frankreich schaute bei der Reset-Funktion bei Grindr genauer hin und stellte fest, dass die Webseite irrtümlich den Security-Token preisgab. Dieser soll in der korrekten Ausführung ausschließlich dem Nutzer, der ein neues Passwort angefordert hat, zugänglich sein.

All about Fakes!
Was Sie über gefälschte Profile in Dating-Apps wissen sollten

Da der Link bei Grindr immer gleich ist, kann der Token somit recht leicht in einen eigenen Link eingefügt werden. Kennt nun ein Angreifer die Mail-Adresse eines Grindr-Nutzers, kann er einen Reset-Link erstellen und damit ein neues Passwort vergeben. Das hat dann zur Folge, dass er den kompletten Account übernehmen kann.

Reaktion von Grindr

Im ersten Schritt reagierte Grindr überhaupt nicht auf die Benachrichtigung des Franzosen. Dieser zog seinen Kollegen Troy Hunt hinzu, der die kritische Lücke bestätigte. Hunt bezeichnet die Angriffsmethode als eine der simpelsten Techniken der illegalen Kontoübernahme.


Erst nach einem Blogpost zu der Sicherheitslücke, behob Grindr den Fehler. Der Anbieter geht davon aus, dass kein Angreifer sich diese Sicherheitslücke zunutze gemacht hat.

Grindr will nun gemeinsam mit einer Security-Firma an solchen Schwachstellen arbeiten und seine Dating-App sicherer machen.

Man kann nur hoffen, dass der Anbieter solchen Lücken gewissenhaft nachgeht. So viele Nutzer wie Grindr hat, ist die Plattform wirklich sehr attraktiv für Scammer und Betrüger. Da wäre es wünschenswert, wenn auch die Sicherheit erhöht würde.

Für die ernsthafte Partnersuche eignet sich Grindr eh nicht so richtig. Da sollten Sie auf Plattformen wie gayParship setzen, die auch einen deutlich höheren Sicherheitsstandard haben.

Quelle: heise.de

Share!
Von diesem Anbieter stammt die News:

Grindr App

Werde Teil des größten sozialen Netzwerks für Schwule!
Unsere Bewertung:
4 von 5 Sterne