Unfreiwilliges Match: Wer Tinder im offenen WLAN nutzt, macht einen großen Fehler

Ein YouTube-Video zeigt, wie fahrlässig Tinder mit sensiblen Nutzerdaten umgeht. Wer etwas aufpasst, kann sich aber schützen.

|
24 Januar 2018, 1:07pm

Screenshot: Youtube | Checkmarx

Wer sich in offenen WLANs durch Tinder swiped, läuft Gefahr, dass Hacker sensible Daten abgreifen können. Die israelische Sicherheitsfirma Checkmarx zeigt auf Youtube, wie einfach es ist, sämtliche Fotos, Swipes und Matches eines Nutzers zu sehen, der im selben WLAN-Netz unterwegs ist.

Tinder gehört zu den erfolgreichsten Dating-Apps weltweit. Auch in Deutschland swipen sich nach Angaben des Anbieters mehrere Millionen Nutzer durch potentielle Dates in ihrem Umkreis. Wischt ein User das Bild eines anderen nach rechts, bekundet er sein Interesse. Trifft das auch auf den jeweils anderen Nutzer zu, sind die beiden ein Match und können private Nachrichten austauschen.

Das Problem betrifft Fotos auf Android-Geräten und iPhones

Die Sicherheitslücke betrifft die Übertragung von Fotos. Außerdem konnten die Sicherheitsexperten anhand der Größe der übertragenen Daten nachvollziehen, ob Tinder-Nutzer nach links oder rechts swipen oder ihnen ein neuer Match angezeigt wird.

Sowohl die Android- als auch die iPhone-App von Tinder übertragen Fotos unverschlüsselt. Private Nachrichten werden hingegen verschlüsselt übertragen und können von Hackern nicht eingesehen werden. Allein aus den vorgeschlagenen Personen und dem Swipe-Verhalten können Dritte jedoch beispielsweise sexuelle Präferenzen ablesen, sagt Erez Yalon von Checkmarx im Interview mit Wired. Man habe Tinder schon im November auf das Sicherheitsproblem aufmerksam gemacht, es sei allerdings noch nicht behoben worden. Auf Anfrage von Wired hat Tinder die Existenz der Sicherheitslücke nicht dementiert. Außerdem erklärte man, dass Profilfotos ohnehin öffentlich seien. Man arbeite aber daran, Bilder auch in den Apps zu verschlüsseln. Wann konkrete Maßnahmen ergriffen würden, die einen solchen Angriff verhindern, ist bisher nicht bekannt.

Nicht betroffen ist Tinders Browser-Variante. Sicher ist auch, wer das eigene Datenvolumen statt eines öffentlichen WLANs nutzt.

Das S in HTTPS steht für 'Secure'

Der Angriff der Hacker im offenen WLAN wird überhaupt möglich, weil Tinder ein eigentlich weit verbreitetes Sicherheitsfeature nicht umsetzt: Der abhörsichere Transport von Daten zwischen App und Server mit dem HTTPS-Protokoll. Die meisten Online-Unternehmen setzen HTTPS inzwischen standardmäßig ein. Websites wie Wikipedia und Reddit sind bereits 2015 komplett auf das sichere Protokoll umgestiegen, die New York Times und Pornhub 2017.

Das Akronym HTTPS steht für Hypertext Transfer Protocol Secure. Wird das Protokoll eingesetzt, werden Daten zwischen Anwendung und Webserver verschlüsselt übertragen. Das bedeutet im Umkehrschluss, dass Seiten und Apps, die das unverschlüsselte HTTP nutzen, alle Daten im Klartext übertragen. So kann theoretisch jeder mit einem Gerät im gleichen WLAN problemlos sehen, welche Daten verschickt werden.

Generell empfiehlt es sich also, private Daten nur zu übertragen, wenn HTTPS auch aktiviert ist. Welches Protokoll verwendet wird, ist aus der URL der aufgerufenen Website abzulesen.