Tinder, OKCupid, Grindr & Co. lassen intime Daten abfließen
Sicherheitsforscher haben 15 populäre Dating-Apps abgeklopft: Sämtliche Apps geben intime Daten wie sexuelle Orientierung oder genaue Aufenthaltsorte preis.
- Uli Ries
Angreifer können viele weitverbreitete Dating-Apps anzapfen, um persönliche Details von Nutzern einzusehen. Darauf weisen belgische Sicherheitsforscher von der KU Leuven nach einer Untersuchung von 15 Dating-Apps hin. Unter die Apps fallen unter anderem Badoo und Tinder, die jeweils rund 100 Millionen Download aufweisen.
Vorgehensweise
Eigenen Angaben zufolge wollten die Sicherheitsforscher herausfinden, an welche Nutzerdaten sie gelangen können, ohne die Server selbst zu attackieren. Sie haben sich daher auf die APIs der Anbieter konzentriert und die über diese Schnittstellen quasi frei verfügbaren Daten ausgewertet.
Zum Mitschneiden des API-Traffics kamen die Entwicklertools in Google Chrome zum Einsatz. Gab es keine Web-App des betreffenden Angebots, setzten die Forscher eigenen Angaben zufolge entweder auf einen Emulator oder ein Android-Smartphone, auf dem sie mittels HTTP Toolkit den HTTPS-Datenverkehr entschlüsselten und mitschnitten. Falls nötig, umgingen sie mit dem Tool Frida das von der jeweiligen App verwendete Zertifikats-Pinning.
Ergebnisse
Die Resultate haben die Forscher nun auf der IT-Security-Konferenz Black Hat 2024 vorgestellt. Sie geben an, während ihrer Versuche insgesamt 99 Informationslecks entdeckt zu haben. Den Versuchsaufbau sowie die detaillieren Resultate schildern sie ausführlich in ihrem Forschungspaper.
Keine der analysierten APIs erfüllt die von den Forschern aufgestellten Schutzkriterien. So sind per Badoo-API beispielsweise das Geschlecht der Nutzenden oder deren Beziehungsstatus einzusehen – obwohl Anwender diese Angaben in der App selbst ausblenden lassen. OKCupid gibt die sexuelle Orientierung preis, was in repressiven Ländern wie Ägypten, Russland oder Saudi-Arabien schwerwiegende Folgen für Menschen haben kann.
Neun der Apps machen den Zeitpunkt der letzten Nutzeraktivität sichtbar und im API-Traffic von zwölf der Anwendungen ist vor dem nach rechts ("Liken") oder links Wischen zu ersehen, ob der andere Nutzende einen mag.
Wo warst Du gestern?
Als besonders schwerwiegend sehen die Forscher die Preisgabe der mittels GPS-Modul im Smartphone ermittelten exakten Koordinaten von Anwendern. Sechs der Apps, darunter Badoo und Grindr, packen die Koordinaten in den API-Datenstrom. Im Fall von Grindr lassen sich die Nutzer sogar auf rund 100 Meter genau lokalisieren.
Sechs andere Apps geben innerhalb der Anwendung die Distanz zwischen Angreifer und Opfer an. Erstellt ein Angreifer mindestens zwei Konten und manipuliert er deren Aufenthaltsort, lässt sich so nach und nach per Triangulation der genaue Aufenthaltsort des Opfers feststellen. Den Forschern zufolge haben inzwischen sämtliche von ihnen angesprochenen App-Anbieter zumindest das Abfließen der genauen Position unterbunden, indem sie die per API abrufbaren Koordinaten nur gerundet ausgeben.
Falsche Motivation
Die Forscher kritisieren zudem, dass die App-Anbieter ihre Nutzer nicht zur Datensparsamkeit erziehen – sondern im Gegenteil noch dazu auffordern, möglichst viele intime Details von sich preiszugeben, um so die Trefferchancen zu erhöhen.
Die veröffentlichten Datenschutzrichtlinien seien zudem auch nicht hinreichend klar formuliert, damit Anwender verstehen, wie genau der jeweilige Dienst welche Art von persönlichen oder intimen Daten verwendet.
Um es Stalkern nicht unnötig leicht zu machen, schlagen die Forscher vor, Profile nur verifizierten Nutzer:innen anzuzeigen. Die Verifikation per Foto ist zwar auch nicht narrensicher, erhöht ihnen zufolge die Hürde aber hinreichend.
(des)