Abo
  • IT-Karriere:

Dating-App: Tinder-Apps übertragen Bilder unverschlüsselt

Die Dating-Apps von Tinder nehmen es mit dem Datenschutz nicht so genau: Die Bilder der Nutzer werden unverschlüsselt übertragen. Alles kein Problem, findet das Unternehmen - die Bilder seien eh öffentlich. Trotzdem soll es bald Abhilfe geben.

Artikel veröffentlicht am ,
Tinder setzt HTTPS nur unvollständig um.
Tinder setzt HTTPS nur unvollständig um. (Bild: Leon Neal/Getty Images)

Der Dating-Anbieter Tinder nutzt die Sicherheitstechnologie HTTPS in seinen mobilen Apps nur unvollständig, wie Wired berichtet. Zwar werden einige Vorgänge wie das Nutzer-Login über eine TLS-verschlüsselte Verbindung übertragen. Doch die Anzeige von Bildern anderer Nutzer wird über eine unverschlüsselte Verbindung abgewickelt.

Stellenmarkt
  1. Auswärtiges Amt, Bonn, Berlin
  2. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr

Wired bezieht sich in seinen Schilderungen auf die IT-Sicherheitsfirma Checkmarx aus Israel. Diese will neben dem fehlenden HTTPS weitere Datenschutzprobleme ausgemacht haben. Angezeigte Bilder werden nach Darstellung des Unternehmens immer unverschlüsselt übertragen. Neben dem Datenschutzrisiko, dass Fremde Bilder einsehen können, ist es somit auch möglich, Nutzern gefälschte Bilder unterzuschieben. Für den Angriff müssen Nutzer im gleichen WLAN-Netzwerk angemeldet sein.

Swipe-Befehle haben jeweils individuelle Länge

Wenn Nutzer Kontakte Tinder-typisch per "swipe" nach rechts oder links annehmen oder ablehnen, werden die übertragenen Kommandos dafür zwar verschlüsselt. Die jeweiligen Befehle haben aber nach Angaben von Checkmarx eine immer gleiche, eindeutig unterscheidbare Länge - und können daher durch bloßes Aufzeichnen des Datenstreams analysiert werden. Ein Wischen nach links löst demnach ein Kommando von 278 Byte aus, ein Wischen nach rechts hingegen 374 Byte. In Verbindung mit den im Klartext übertragenen Fotos können dann Rückschlüsse auf die sexuelle Orientierung gezogen werden.

Tinder sagte auf Anfrage von Wired, dass das Unternehmen "wie jede andere Technologiefirma konstant damit beschäftigt ist, die eigene Verteidigung gegen bösartige Hacker auszubauen." Außerdem geht das Unternehmen davon aus, dass die Bilder der Nutzer sowieso öffentlich seien und die unverschlüsselte Übertragung daher unproblematisch sei. Eine verschlüsselte Übertragung der Bilder soll in Zukunft aber umgesetzt werden. Checkmarx empfiehlt Tinder außerdem, ein Padding einzusetzen, um die verschlüsselten Befehle auf die gleiche Länge zu bringen und somit keine Identifikation mehr zuzulassen.



Anzeige
Spiele-Angebote
  1. (-10%) 17,99€
  2. 4,16€
  3. 3,99€

Apfelbrot 25. Jan 2018

Das juckt ehrlich gesagt keine Sau

__destruct() 24. Jan 2018

Wenn der merkt, was ich studiere, ist darüber hinaus noch mein Geschlecht bekannt.


Folgen Sie uns
       


Doom 1 in der Doom 3 Engine angespielt

Doom Reborn benötigt eine Vollversion von Doom 3 und ist bei moddb.com kostenlos erhältlich. Die Mod wurde von Michael Hanlon entwickelt.

Doom 1 in der Doom 3 Engine angespielt Video aufrufen
Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  2. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf
  3. Elektro-SUV Produktion des Mercedes-Benz EQC beginnt

Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

Google Game Builder ausprobiert: Spieldesign mit Karten statt Quellcode
Google Game Builder ausprobiert
Spieldesign mit Karten statt Quellcode

Bitte Bild wackeln lassen und dann eine Explosion: Solche Befehle als Reaktion auf Ereignisse lassen sich im Game Builder relativ einfach verketten. Der Spieleeditor des Google-Entwicklerteams Area 120 ist nicht nur für Einsteiger gedacht - sondern auch für Profis, etwa für die Erstellung von Prototypen.
Von Peter Steinlechner

  1. Spielebranche Immer weniger wollen Spiele in Deutschland entwickeln
  2. Aus dem Verlag Neue Herausforderungen für Spieler und Entwickler

    •  /