Die Dating-App Tinder verzichtet anscheinend darauf, Daten in verschlüsselter Form durchs Netz zu schicken.

Hacker, die sich im selben Netzwerk befinden, können deshalb Fotos, Wischgesten und Matches protokollieren.

Betroffen sind also potentiell alle Menschen, die auch in öffentlichen Wlans tindern.

Von Hakan Tanriverdi

Für böswillige Hacker ist es mit einfachen Mitteln möglich, Tinder-Nutzern beim über die Schulter zu schauen. Das geht hervor aus einer technischen Analyse der israelischen IT-Sicherheitsfirma Checkmarx. Auch die Profilfotos der jeweiligen Personen können angezeigt werden. "Man weiß alles", sagt Erez Yalon, der sich um App-Sicherheit bei Checkmarx kümmert, im Gespräch mit dem Technik-Magazin Wired. "Was sie (die Nutzer, Anm. d. Red.) tun, was ihre sexuellen Präferenzen sind, eine Menge an Informationen."

Die Angriffe betreffen sowohl Android- als auch iOS-Nutzer. Wie das in der Praxis aussieht, haben die Forscher in einem Youtube-Video demonstriert. Tinder ist die erfolgreichste Dating-App weltweit. In Deutschland nutzen mehr als zwei Millionen Menschen diesen Weg, um neue Partner zu finden, ob für Beziehungen oder für eine Nacht.

Fehlendes Verschlüsselung erlaubt Hackern Mitschnüffeln

Möglich wird der Angriff, weil die App nach Angaben der Sicherheitsforscher darauf verzichtet, Anfragen über das https-Protokoll abzusichern. Dieses Protokoll - erkennbar am grünen Schloss im Browser - sorgt dafür, dass die Anfrage verschlüsselt wird.

Wer zum Beispiel sensible Informationen über das Netz verschickt, kann Passwörter oder Konto-Daten eingeben. Menschen, die sich im selben Netzwerk befinden, können den Internet-Verkehr zwar mitschneiden, aber nichts davon entziffern. Die Übertragung der Informationen ist gesichert.

Dating dürfte für viele Menschen in einen Bereich fallen, der als schutzbedürftig gilt. Da Tinder auf https zu verzichten scheint, ist es für Hacker möglich, diese Informationen auszulesen. Allerdings müssen sie sich dafür im gleichen Netzwerk befinden. Wer über sein Handy mit eigenem Datenvolumen surft, ist nicht betroffen. Wer sich jedoch im öffentlichen Wlan bewegt, ob das nun in der Universität ist oder im Café, ist potenziell gefährdet.

Es handelt sich also nicht um eine Lücke, die spezifisch bei Tinder gefunden wurde. Aber in einer Zeit, in der Chat-Apps wie Signal, Threema und Whatsapp dazu übergehen, die gesamte Kommunikation Ende-zu-Ende zu verschlüsseln, so dass niemand außer den Chatpartnern mehr Zugriff auf die Nachrichten haben kann - also auch nicht die Anbieter wie Whatsapp - ist es erstaunlich, dass eine erfolgreiche App wie Tinder diesen Schutz durch https nicht umzusetzen scheint.

Tinder wird Schutz ausweiten

Auch Wischgesten, die verschlüsselt kommuniziert werden, lassen sich anhand des App-Verhaltens decodieren. Mit diesen Gesten werden Menschen für hübsch oder nicht so hübsch befunden. Die App teilt einem auch mit, ob die Zuneigung auf Gegenseitigkeit beruht. Ist dies der Fall, spricht man von einem Match. Die neueste Android-Version der App sei gegen diese Form des Schnüffelns mittlerweile geschützt, heißt es.

Tinder schreibt auf Anfrage von Wired, dass die browser-basierte Variante von Tinder bereits auf https setze - diese Form des Schutzes solle in Zukunft ausgeweitet werden. Ebenfalls wird darauf hingewiesen, dass Profilfotos ohnehin öffentlich sind. Die Interaktionen sind es jedoch nicht.