Wenn der Spitzel nach links wischt: Schwere Sicherheitslücke bei Dating-Plattform Tinder

CC-BY 2.0 Freestocks.org

Schwere Sicherheitsmängel bei der Dating-Plattform Tinder erlauben es nach Angaben einer israelischen Sicherheitsfirma, alle von Nutzern im gleichen WLAN-Netzwerk angesehenen Fotos auszuspionieren. Bei den über die App geteilten Bildern fehle es selbst an grundlegender Verschlüsselung durch den HTTPS-Standard, schreibt das Technologiemagazin Wired:

Am Dienstag zeigten Experten der auf Apps spezialisierten Sicherheitsfirma Checkmarx aus Tel Aviv auf, dass Tinder selbst die grundlegende HTTPS-Verschlüsselung für Fotos fehlt. Einfach nur durch das Einloggen in das selbe WLAN-Netzwerk, in dem sich die iOS- oder Android-App des Nutzers befindet, konnten die Sicherheitsexperten alle Fotos sehen, die auch der Nutzer sieht, und sogar ihre eigenen Bilder in den Fotostream einschleusen. Auch wenn andere Daten der Tinder-Apps durch HTTPS verschlüsselt sind, fand Checkmarx noch genug an durchsickernden Informationen, um die verschlüsselten Anweisungen auseinanderzuhalten. Dadurch können Hacker im selben Netzwerk zusehen, wie der Nutzer nach links oder rechts wischt, oder einen passenden Partner findet, ganz so, als würde er dem Nutzer über die Schulter sehen. Die Experten sind der Meinung, die Sicherheitsmängel ließen alles zu, von einfachem Voyeurismus bis hin zur Erpressung. (Eigene Übersetzung von Netzpolitik.org)

 

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

4 Ergänzungen

  1. Vielen Dank an die „Sicherheitsfirma“. Von nun an werde ich meine Bilder vollständig schwärzen und erst dann posten.

  2. Puuh, also bitte. Eine fehlende HTTPS-Verschlüsselung ist sicherlich schlecht und ärgerlich. Dies aber als „Schwere Sicherheitslücke“ zu bezeichnen grenzt schon stark an Clickbaiting.

    Das „Problem“, dass unverschlüsselter Traffic innerhalb eines Netzes ausgelesen werden kann, ist ja nun nichts neues. Was natürlich traurig ist….

    Aber vielleicht in Zukunft solche Meldungen auch in einen korrekten Kontext setzen anstatt stumpf Pressemitteilungen zu kopieren – Das schadet sonst doch sehr der eigenen Glaubwürdigkeit!

    1. Wenn eine solch prominente und große App mit sensiblen Daten im Jahre 2018 nicht in der Lage ist, durchgehende HTTPS-Verschlüsselung zu gewährleisten, dann ist das grob fahrlässig und eine schwere Sicherheitslücke. Wir haben doch nicht mehr 2003.

    2. Ganz sicher wiegt das ’schwer‘. Um Netzwerkverkehr im WLAN mitzulesen braucht’s lediglich Grundkenntnisse und einen (frei verfügbaren) Sniffer. Man kann sicherlich drüber streiten, ob jeder Traffic verschlüsselt sein sollte (siehe prominente HTTP/2 Diskussionen) aber im Falle von persönlichen Daten verbietet sich die. ‚Ärgerlich‘ und ’schlecht‘ finde ich stark verharmlost.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.