• IT-Karriere:
  • Services:

Dating-App: Tinder-Apps übertragen Bilder unverschlüsselt

Die Dating-Apps von Tinder nehmen es mit dem Datenschutz nicht so genau: Die Bilder der Nutzer werden unverschlüsselt übertragen. Alles kein Problem, findet das Unternehmen - die Bilder seien eh öffentlich. Trotzdem soll es bald Abhilfe geben.

Artikel veröffentlicht am ,
Tinder setzt HTTPS nur unvollständig um.
Tinder setzt HTTPS nur unvollständig um. (Bild: Leon Neal/Getty Images)

Der Dating-Anbieter Tinder nutzt die Sicherheitstechnologie HTTPS in seinen mobilen Apps nur unvollständig, wie Wired berichtet. Zwar werden einige Vorgänge wie das Nutzer-Login über eine TLS-verschlüsselte Verbindung übertragen. Doch die Anzeige von Bildern anderer Nutzer wird über eine unverschlüsselte Verbindung abgewickelt.

Stellenmarkt
  1. VerbaVoice GmbH, München
  2. Deutsche Rentenversicherung Bund, Berlin

Wired bezieht sich in seinen Schilderungen auf die IT-Sicherheitsfirma Checkmarx aus Israel. Diese will neben dem fehlenden HTTPS weitere Datenschutzprobleme ausgemacht haben. Angezeigte Bilder werden nach Darstellung des Unternehmens immer unverschlüsselt übertragen. Neben dem Datenschutzrisiko, dass Fremde Bilder einsehen können, ist es somit auch möglich, Nutzern gefälschte Bilder unterzuschieben. Für den Angriff müssen Nutzer im gleichen WLAN-Netzwerk angemeldet sein.

Swipe-Befehle haben jeweils individuelle Länge

Wenn Nutzer Kontakte Tinder-typisch per "swipe" nach rechts oder links annehmen oder ablehnen, werden die übertragenen Kommandos dafür zwar verschlüsselt. Die jeweiligen Befehle haben aber nach Angaben von Checkmarx eine immer gleiche, eindeutig unterscheidbare Länge - und können daher durch bloßes Aufzeichnen des Datenstreams analysiert werden. Ein Wischen nach links löst demnach ein Kommando von 278 Byte aus, ein Wischen nach rechts hingegen 374 Byte. In Verbindung mit den im Klartext übertragenen Fotos können dann Rückschlüsse auf die sexuelle Orientierung gezogen werden.

Tinder sagte auf Anfrage von Wired, dass das Unternehmen "wie jede andere Technologiefirma konstant damit beschäftigt ist, die eigene Verteidigung gegen bösartige Hacker auszubauen." Außerdem geht das Unternehmen davon aus, dass die Bilder der Nutzer sowieso öffentlich seien und die unverschlüsselte Übertragung daher unproblematisch sei. Eine verschlüsselte Übertragung der Bilder soll in Zukunft aber umgesetzt werden. Checkmarx empfiehlt Tinder außerdem, ein Padding einzusetzen, um die verschlüsselten Befehle auf die gleiche Länge zu bringen und somit keine Identifikation mehr zuzulassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. MSI Optix G24C für 155,00€, Asus VP278H für 125,00€, LG 27UD59-W für 209,00€ und HP...

Apfelbrot 25. Jan 2018

Das juckt ehrlich gesagt keine Sau

__destruct() 24. Jan 2018

Wenn der merkt, was ich studiere, ist darüber hinaus noch mein Geschlecht bekannt.


Folgen Sie uns
       


Eigene Deep Fakes mit DeepFaceLab - Tutorial

Wir zeigen im Video, wie man mit DeepFaceLab arbeitet.

Eigene Deep Fakes mit DeepFaceLab - Tutorial Video aufrufen
Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

    •  /