Für böswillige Hacker ist es mit einfachen Mitteln möglich, Tinder-Nutzern beim Flirten über die Schulter zu schauen. Das geht aus einer technischen Analyse der israelischen IT-Sicherheitsfirma Checkmarx hervor. Auch die Profilfotos der jeweiligen Personen können angezeigt werden. "Man weiß alles", sagt Erez Yalon, der sich um App-Sicherheit bei Checkmarx kümmert, im Gespräch mit dem Technik-Magazin Wired. "Was sie (die Nutzer, Anm. d. Red.) tun, was ihre sexuellen Präferenzen sind, eine Menge an Informationen."
Die Angriffe betreffen sowohl Android- als auch iOS-Nutzer. Tinder ist die erfolgreichste Dating-App weltweit. In Deutschland nutzen mehr als zwei Millionen Menschen diesen Weg, um neue Partner zu finden, ob für Beziehungen oder für eine Nacht.
Möglich wird der Angriff, weil die App nach Angaben der Sicherheitsforscher darauf verzichtet, Anfragen über das https-Protokoll abzusichern. Dieses Protokoll - erkennbar am grünen Schloss im Browser - sorgt dafür, dass die Anfrage verschlüsselt wird.
Wer zum Beispiel sensible Informationen über das Netz verschickt, kann Passwörter oder Konto-Daten eingeben. Menschen, die sich im selben Netzwerk befinden, können den Internet-Verkehr zwar mitschneiden, aber nichts davon entziffern. Die Übertragung der Informationen ist gesichert.
Eigentlich sollten nur die Profilfotos öffentlich sein
Dating dürfte für viele Menschen in einen Bereich fallen, der als schutzbedürftig gilt. Da Tinder auf https zu verzichten scheint, ist es für Hacker möglich, diese Informationen auszulesen. Allerdings müssen sie sich dafür im selben Netzwerk befinden. Wer über sein Handy mit eigenem Datenvolumen surft, ist nicht betroffen. Wer sich jedoch im öffentlichen Wlan bewegt, ob das nun in der Universität ist oder im Café, ist potenziell gefährdet.
Es handelt sich also nicht um eine Lücke, die spezifisch bei Tinder gefunden wurde. Aber in einer Zeit, in der Chat-Apps wie Signal, Threema und Whatsapp dazu übergehen, die gesamte Kommunikation Ende-zu-Ende zu verschlüsseln, sodass niemand außer den Chatpartnern mehr Zugriff auf die Nachrichten haben kann - also auch nicht die Anbieter wie Whatsapp - ist es erstaunlich, dass eine erfolgreiche App wie Tinder diesen Schutz durch https nicht umzusetzen scheint.
Auch Wischgesten, die verschlüsselt kommuniziert werden, lassen sich anhand des App-Verhaltens decodieren. Mit diesen Gesten werden Menschen für hübsch oder nicht so hübsch befunden. Die App teilt einem auch mit, ob die Zuneigung auf Gegenseitigkeit beruht. Ist dies der Fall, spricht man von einem Match. Die neueste Android-Version der App sei gegen diese Form des Schnüffelns mittlerweile geschützt, heißt es.
Tinder schreibt auf Anfrage von Wired, dass die browser-basierte Variante der App bereits auf https setze - der Schutz solle ausgeweitet werden. Ebenfalls wird darauf verwiesen, dass Profilfotos ohnehin öffentlich sind. Die Interaktionen sind es jedoch nicht.