Intime Daten bei Dating-Apps gefährdet

Belgiens Sicherheitsforscher von der KU Leuven haben alarmierende Erkenntnisse über verbreitete Dating-Apps veröffentlicht. Die Untersuchung umfasste 15 Plattformen darunter alte Bekannte wie Tinder und Badoo. Die Apps hatten beeindruckende 100 Millionen Downloads.



Ziel der Untersuchung


Die Forscher konzentrierten sich darauf herauszufinden welche persönlichen Daten sie ohne direkte Angriffe auf die Server abfangen konnten. Dazu nutzten sie die APIs der Anbieter. Die Ergebnisse zeigen; dass die Daten über diese Schnittstellen teilweise offen zugänglich waren.



Technische Vorgehensweise


Um den API-Verkehr zu analysieren, setzten die Forscher auf die Entwicklertools von Google Chrome. War keine Web-App vorhanden, nutzten sie Emulatoren oder Android-Smartphones. Mit dem Tool HTTP Toolkit entschlüsselten sie den HTTPS-Datenverkehr. Zusätzlich umgehen sie das Zertifikats-Pinning der Apps mithilfe von Frida.



Ergebnisse der Studie


Auf der IT-Security-Konferenz Black Hat 2024 wurden die Ergebnisse präsentiert. Insgesamt fanden die Forscher 99 Informationslecks. Sie dokumentierten den Versuchsaufbau in einem detaillierten Forschungspaper.



Bedrohliche Offenbarungen


Die APIs erfüllten keine der von den Forschern aufgestellten Schutzkriterien. Über die Badoo-API wurden personenbezogene Daten wie Geschlecht & Beziehungsstatus zugänglich, ebenfalls wenn Nutzer diese Informationen in der App verborgen hatten. OKCupid stellte sogar die sexuelle Orientierung preis. In repressiven Ländern könnte das katastrophale Folgen haben.



Sichtbare Aktivitäten


Neun der untersuchten Apps lassen den Zeitpunkt der letzten Nutzeraktivität einsehen. Bei zwölf Anwendungen zeigt der API-Traffic an, ob ein Nutzer einen anderen mag.



Geolokalisierung als kritisches Problem


Die Forscher sehen die Preisgabe exakter GPS-Koordinaten als besonders bedenklich an. Sechs Apps, darunter Badoo und Grindr, legen diese Daten im API-Datenstrom offen. Bei Grindr können Nutzer auf bis zu 100 Meter ebendies lokalisiert werden. Andere Apps geben die Distanz zwischen Nutzer und Angreifer bekannt was in den falschen Händen gefährlich sein kann.



Herausforderungen durch unzureichende Schutzmaßnahmen


Obwohl die Forscher den App-Anbietern kommunizierten, ebenso wie man die Offenlegung der GPS-Daten verhindern könne, wurden nur gerundete Koordinaten veröffentlicht. Den Angaben zufolge haben mittlerweile alle angesprochenen Anbieter dies umgesetzt.



App-Anbieter in der Kritik


Die Forscher kritisieren die mangelnde Bereitschaft der Anbieter, ihre Nutzer zur Datensparsamkeit zu erziehen. Stattdessen werden Nutzer ermutigt immer weiterhin persönliche Informationen preiszugeben. Die Datenschutzrichtlinien der Apps sind oft unklar formuliert was zu Verwirrung führt.



Lösungsvorschläge zur Verbesserung


Um es Stalkern zu erschweren schlagen die Forscher vor Profile nur verifizierten Nutzern anzuzeigen. Diese Verifikation könnte über Fotos geschehen. Zwar ist diese Methode nicht absolut sicher allerdings erhöht sie die Hürde signifikant.






Kommentare

Die Untersuchung der belgischen Sicherheitsforscher wirft ein grelles Licht auf die Sicherheitslücken in Dating-Apps. Die Herausforderungen sind vielfältig. Nutzer sollten sich der potenziellen Gefahren bewusst sein und verantwortungsbewusst mit ihren Daten umgehen.


Anzeige