Schau dir an, wie ein Hacker ganz einfach einen Tinder Account ausspioniert

Tinder ist nicht mehr sicher. Einem Bericht der App-Sicherheits-Firma Checkmarx am Dienstag zu folge, können Schwachstellen in der Verschlüsselung von Tinder es Hackern ermöglichen, aktive Tinder Accounts auszuspionieren.

Einfach indem sie sich im gleichen WLAN-Netz anmelden, können Tinder Spione auf den Fotostream eines Tinder Nutzers zugreifen. Das ist möglich, weil Tinder beim Versenden von Fotos an die App (in Informations-„Paketen“) keine HTTPS Verschlüsselung nutzt. Mit einem sogenannt „Paket-Schnüffler“ Programm können Hacker jedes im gleichen Netzwerk gesendete Paket herunterladen, und wenn es nicht verschlüsselt ist, können sie sich auch den Inhalt anschauen.

Da diese Fotos genau genommen schon für die Öffentlichkeit zu sehen sind, bekommen die Spione keine privaten Informationen; aber es ist immer noch ganz schön unheimlich, was sie dadurch alles über dich herausfinden können.

Auch wenn Tinder HTTPS Verschlüsselung für Dinge wie Swiping benutzt, haben die Experten von Checkmarx auch hier einen Weg gefunden, das zu umgehen. Wenn du auf deiner App Swipest, schickt dein Handy Informationen an dein WLAN-Netz, die mit dieser Handlung in Zusammenhang steht, wieder in einem Paket. Da Swipes verschlüsselt sind, sollte jemand der diese Information untersucht, nicht in der Lage sein, herauszufinden was sie bedeutet. Aber es gibt drei Arten von Tinder Swipes: Swipe nach links, Swipe nach rechts und Super Like. Die Verschlüsselung ist so gestaltet, das bei jedem Swipe nach links das Paket die gleiche Größe hat. Da jede Art des Swipes eine spezielle Paketgröße hat, die sich nicht ändert, kann man trotzdem sehen was du tust, nur indem man sich die Paketgröße anschaut, statt der Informationen im Paket. Mit den richtigen Tools, ist es fast, als ob dir jemand auf den Bildschirm schaut.

Was besonders besorgniserregend ist, ist dass Hacker ihre eigenen Fotos in den Fotostream eines Users einfügen konnten, indem sie den nicht verschlüsselten Datenversand abgefangen haben, so Checkmarx.

Es ist leicht, sich die potentiellen Konsequenzen vorzustellen. Unerwünschte Penisfotos wären nur die Spitze des Eisbergs; Werbung, Drohungen und Tide Pod Memes könnten alle dein App infiltrieren.

Mal davon abgesehen, dass das echt peinlich sein könnte, sagt Checkmarx, dass die Schwachstelle auch dazu genutzt werden könnte um Nutzer zu erpressen oder einfach das Verhalten eines Nutzers auf Tinder zu veröffentlichen. Checkmarx hat uns mitgeteilt, dass sie Tinder bereits im November auf die Schwachstellen hingewiesen haben, bis jetzt aber nichts daran geändert wurde.

In einem Statement bei Inverse sagte ein Sprecher von Tinder: „Wir arbeiten daran, auch die Fotos bei der App-Nutzung zu verschlüsseln. Allerdings werden wir nicht im Detail darauf eingehen, welche Sicherheitsmaßnahmen wir nutzen, oder welche Verbesserungen wir einbauen werden, um zu vermeiden, dass Möchtegern-Hacker sich darauf einstellen.“

Bis Tinder eine Lösung präsentiert ist die beste Möglichkeit sich gegen digitale Zuschauer schützen ganz einfach: Swipe nicht in der Öffentlichkeit.

Wird geladen
×