Abo
  • IT-Karriere:

Dating-App: Tinder-Apps übertragen Bilder unverschlüsselt

Die Dating-Apps von Tinder nehmen es mit dem Datenschutz nicht so genau: Die Bilder der Nutzer werden unverschlüsselt übertragen. Alles kein Problem, findet das Unternehmen - die Bilder seien eh öffentlich. Trotzdem soll es bald Abhilfe geben.

Artikel veröffentlicht am ,
Tinder setzt HTTPS nur unvollständig um.
Tinder setzt HTTPS nur unvollständig um. (Bild: Leon Neal/Getty Images)

Der Dating-Anbieter Tinder nutzt die Sicherheitstechnologie HTTPS in seinen mobilen Apps nur unvollständig, wie Wired berichtet. Zwar werden einige Vorgänge wie das Nutzer-Login über eine TLS-verschlüsselte Verbindung übertragen. Doch die Anzeige von Bildern anderer Nutzer wird über eine unverschlüsselte Verbindung abgewickelt.

Stellenmarkt
  1. Alfred Kärcher SE & Co. KG, Winnenden bei Stuttgart
  2. UDG United Digital Group, Ludwigsburg

Wired bezieht sich in seinen Schilderungen auf die IT-Sicherheitsfirma Checkmarx aus Israel. Diese will neben dem fehlenden HTTPS weitere Datenschutzprobleme ausgemacht haben. Angezeigte Bilder werden nach Darstellung des Unternehmens immer unverschlüsselt übertragen. Neben dem Datenschutzrisiko, dass Fremde Bilder einsehen können, ist es somit auch möglich, Nutzern gefälschte Bilder unterzuschieben. Für den Angriff müssen Nutzer im gleichen WLAN-Netzwerk angemeldet sein.

Swipe-Befehle haben jeweils individuelle Länge

Wenn Nutzer Kontakte Tinder-typisch per "swipe" nach rechts oder links annehmen oder ablehnen, werden die übertragenen Kommandos dafür zwar verschlüsselt. Die jeweiligen Befehle haben aber nach Angaben von Checkmarx eine immer gleiche, eindeutig unterscheidbare Länge - und können daher durch bloßes Aufzeichnen des Datenstreams analysiert werden. Ein Wischen nach links löst demnach ein Kommando von 278 Byte aus, ein Wischen nach rechts hingegen 374 Byte. In Verbindung mit den im Klartext übertragenen Fotos können dann Rückschlüsse auf die sexuelle Orientierung gezogen werden.

Tinder sagte auf Anfrage von Wired, dass das Unternehmen "wie jede andere Technologiefirma konstant damit beschäftigt ist, die eigene Verteidigung gegen bösartige Hacker auszubauen." Außerdem geht das Unternehmen davon aus, dass die Bilder der Nutzer sowieso öffentlich seien und die unverschlüsselte Übertragung daher unproblematisch sei. Eine verschlüsselte Übertragung der Bilder soll in Zukunft aber umgesetzt werden. Checkmarx empfiehlt Tinder außerdem, ein Padding einzusetzen, um die verschlüsselten Befehle auf die gleiche Länge zu bringen und somit keine Identifikation mehr zuzulassen.



Anzeige
Spiele-Angebote
  1. 13,95€
  2. (-56%) 19,99€
  3. 47,95€

Apfelbrot 25. Jan 2018

Das juckt ehrlich gesagt keine Sau

__destruct() 24. Jan 2018

Wenn der merkt, was ich studiere, ist darüber hinaus noch mein Geschlecht bekannt.


Folgen Sie uns
       


Intel NUC8 (Crimson Canyon) - Test

Der NUC8 alias Crimson Canyon ist der erste Mini-PC mit einem 10-nm-Chip von Intel. Dessen Grafikeinheit ist aber deaktiviert, weshalb Intel noch eine Radeon RX 540 verlötet. Leider steckt im System eine Festplatte, weshalb der NUC8 sehr träge reagiert und vergleichsweise laut wird.

Intel NUC8 (Crimson Canyon) - Test Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Urheberrechtsreform: Was das Internet nicht vergessen sollte
Urheberrechtsreform
Was das Internet nicht vergessen sollte

Die Reform des europäischen Urheberrechts ist eine Niederlage für viele Netzaktivisten. Zwar sind die Folgen der Richtlinie derzeit kaum absehbar. Doch es sollten die richtigen Lehren aus der jahrelangen Debatte mit den Internetgegnern gezogen werden.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht VG Media will Milliarden von Google
  2. Urheberrecht Uploadfilter und Leistungsschutzrecht endgültig beschlossen
  3. Urheberrecht Merkel bekräftigt Zustimmung zu Uploadfiltern

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

    •  /