Die israelische IT-Sicherheitsfirma Checkmarx hat zwei gravierende Sicherheitslücken in der Dating-App Tinder entdeckt. In einem Bericht beschreiben die Fachleute aus Tel Aviv, dass Tinder nicht die Profilbilder der Nutzer verschlüssele. Wenn man über ein öffentliches W-Lan-Netzwerk angemeldet sei, könnten Hacker alle Profile sehen, mit denen man interagiere – und sogar herausbekommen, mit wem man zueinander passt, also ein „Match“ hat.

Das Prinzip von Tinder ist: Man meldet sich über ein Facebook-Profil an und bekommt potentielle Partner in der Umgebung gezeigt. Mit einem Wisch über den Bildschirm nach links, auch „Swipe“ genannt, lehnt man den Kandidaten ab, wischt man nach rechts, heißt das, man findet ihn oder sie gut. Wischen beide Personen nach rechts, gibt es ein Match, und ein Unterhaltungsfenster öffnet sich.

Das Angebot ist beliebt: Bis zum Jahr 2015 wollten allein in Deutschland 2 Millionen Menschen auf diese Weise jemanden kennenlernen. Tinder gibt an, dass es auf der ganzen Welt aktiv ist und seit der Gründung im Jahr 2012 mehr als 20 Milliarden Matches ermöglicht hat. Eine Million Dates vermittelt die App anscheinende jede Woche.

Vorsicht beim rechts-„Swipe“

Böswillige Hacker können die Sicherheitslücken der App demnach sowohl auf Apple- als auch auf Android-Geräten ausnutzen. Die Checkmarx-Mitarbeiter fanden eigenen Angaben zufolge heraus, dass Tinder keine sogenannt Https-Verschlüsselung benutzt. Das ist eine Standardverschlüsselung, die dafür sorgt, dass der Datenverkehr zwischen Internetbrowser und Server nicht angezapft werden kann. Sie ist bei den meisten Internetseiten geläufig – so sind zum Beispiel Passwörter oder Kreditkartennummern sicher.

Auf Tinder können Hacker, wie sich nun zeigte, allerdings ohne viel Aufwand den Datenverkehr einfangen und alle Profilbilder sehen, die man als Benutzer auch ansieht. Sie können sogar das Profilbild des Nutzers verändern und Werbung oder Links zu Viren hinzufügen. Voraussetzung ist nur, dass der Nutzer in einem öffentlichen W-Lan-Netzwerk angemeldet ist, zum Beispiel in einem Café.

Es ist auch möglich, herauszufinden, mit wem man ein Match hat. Die „Swipes“ und Textnachrichten sind zwar verschlüsselt, allerdings ist die verschlüsselte Datenmenge für einen Rechts-Wisch, einen Links-Wische und ein Match jeweils unterschiedlich. Die Experten von Checkmarx kombinierten diese Informationen mit den Profilbildern und konnte alle Wischbewegungen und Matches mitverfolgen. „Wir können genau simulieren, was der Benutzer auf seinem Bildschirm sieht“, sagte Erez Yalon, Manager für Anwendungssicherheit bei Checkmarx gegenüber dem Internetdienst „Wired“. „Du weißt alles: Was sie machen, was ihre sexuellen Vorlieben sind, eine Menge an Informationen.“

Weitere Sicherheitsbedenken

Es ist erstaunlich, dass Tinders Sicherheitsvorkehrungen so lückenhaft sind, zumal immer mehr Apps wie Whatsapp oder Threema dazu übergehen, ihren Verkehr Ende-zu-Ende zu verschlüsseln, so dass nur Chatpartner Zugriff auf ihre Nachrichten haben. Tinder wies in einem Statement darauf hin, dass die Https-Verschlüsselung schon in der Webbrowser-Version der App angewendet wird und auf die App ausgeweitet werden soll, um der Lücke entgegenzuwirken. Checkmarx empfiehlt außerdem, die Datenmenge bei Interaktionen auszugleichen, damit Hacker die „Swipes“ nicht nachvollziehen können.

Es gibt jedoch weitere Sicherheitsbedenken. Da Tinder-Nutzer ihr Profil mit anderen Internetangeboten wie Facebook oder Instagram vernetzen, ist es relativ einfach, die Informationen zu kombinieren und eine Menge an privaten Daten zu sammeln, fand der IT-Sicherheitskonzern Kaspersky heraus. Trotz Gegenwarnung auf der Webseite von Tinder geben viele Nutzer ihren Arbeits- oder Studienplatz an; bei 60 Prozent konnte Kaspersky so andere Profile, zum Beispiel auf LinkedIn oder Facebook finden, sowie den vollen Namen der Person.

Tinder-Nutzer sind auf der ganzen Welt aktiv – auch in Ländern, wo bestimmte sexuelle Vorlieben oder Dating-Verhalten illegal sind oder gesellschaftlich nicht akzeptiert werden. Im schlimmsten Fall kann das zu Stalking oder Erpressung führen.