Lovoo: Sicherheitslücke ermöglicht Erstellung von Bewegungsprofilen

Über die Web-API des Dating-Dienstes ließen sich bis vor kurzem Informationen über Nutzer abrufen - auch ohne Login. Per Skript-Automatisierung können damit Bewegungsprofile erstellt werden.

Artikel veröffentlicht am ,
Screenshot des Test-Skripts
Screenshot des Test-Skripts (Bild: Alexander Merz/Golem.de)

Mit der sogenannten Radar-Funktion von Lovoo können sich Nutzer per Browser oder App andere Lovoo-Nutzer in ihrer Umgebung anzeigen lassen. Dabei wird nicht nur der Nutzername dargestellt, sondern unter anderem die ungefähre Entfernung zur eigenen Position. Golem.de-Leser Pascal Raszyk hat uns informiert, dass diese Funktion keinerlei Einschränkungen hat und jedem die Möglichkeit bietet, Bewegungsprofile einzusehen. Mittlerweile ist diese Lücke zum Teil geschlossen.

Web-API ist mitteilsam

Stellenmarkt
  1. Digitalkoordinator/in (w/m/d)
    Stadt NÜRNBERG, Nürnberg
  2. Business Analyst (m/w/d) in der Abteilung Prozessentwicklung, Methodik und Vertrag
    Allianz Deutschland AG, Unterföhring
Detailsuche

Die Radar-Funktion der App basiert darauf, dass die Lovoo-Anwendung regelmäßig die Ortskoordinaten des Nutzers an den Dienst übermittelt, wenn dieser dem zugestimmt hat. Die Daten erhält die Radar-Anwendung über eine Web-API-URL. In der URL wird unter anderem als Parameter die aktuelle Position des abfragenden Nutzers übergeben sowie ein Suchradius. Daher weiß Lovoo, wo sich der Nutzer befindet, und kann darüber die Entfernung anderer Nutzer berechnen.

Pascal Raszyk entdeckte, dass die URL ohne Limitierungen abgefragt werden konnte. So war es ihm nicht nur möglich, Daten ohne gültiges Nutzer-Login zu erhalten, sondern auch in kürzester Zeit beliebig viele Abrufe mit frei gewählten Ortskoordinaten durchzuführen. Raszyk stellte uns ein Skript zur Verfügung, das mehrere URL-Abrufe durchführt und das Ergebnis auswertet. Bei jedem Aufruf wird dabei der abgefragte Standort leicht variiert, die jeweiligen Suchumgebungen überlappen sich dabei. Mit hoher Wahrscheinlichkeit tauchen dabei einige Nutzer in jedem der Ergebnisse auf, inklusive der Entfernungsangabe zu den abgefragten Ortskoordinaten.

Aus der Kombination mehrerer Ortskoordinaten und der zugehörigen Entfernungen kann per Triangulation die konkrete Position dieser Nutzer auf wenige Meter genau bestimmt werden.

Golem Akademie
  1. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2021, Virtuell
  2. Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop
    17.–18. Januar 2022, Virtuell
Weitere IT-Trainings

Alternativ lässt sich mit diesem Konzept ein Nutzer automatisiert gezielt suchen und verfolgen, wenn zumindest sein ungefährer Standort bekannt ist.

Lovoo verweist auf absichtliche Ungenauigkeit

Wir konfrontierten Lovoo mit diesen Problemen und erhielten noch am gleichen Tag eine Antwort. Der Zugriff durch nicht einloggte Nutzer sei mittlerweile unterbunden - was tatsächlich der Fall ist, wie wir feststellten.

Ansonsten verweist Lovoo auf den Zweck des Dienstes: "Zur Erbringung unserer standortbezogenen Dienstleistungen [...] ist es notwendig und liegt in der Natur der Sache, Standortdaten zwischen Benutzern unserer Plattform zu teilen.". Außerdem betont der Anbieter die Freiwilligkeit der Standortübermittlung. Die Möglichkeit einer genauen Ortsbestimmung eines Nutzers verneint Lovoo: "Um unsere Nutzer - trotz standortbezogener Leistungen - besser zu schützen, wird die Genauigkeit der Koordinaten automatisch mit mind. 100 Meter reduziert."

Auf Anfrage von Golem.de widersprach Pascal Raszyk der Argumentation von Lovoo: "Trotz der Ungenauigkeit lässt sich die Bewegungsrichtung erkennen und damit auch ein Bewegungsprofil reproduzieren."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Discovery Staffel 4
Star Trek mit viel zu viel Pathos

Die ersten beiden Folgen der neuen Staffel von Star Trek Discovery bieten zwar interessante Story-Ansätze, gehen aber in teils unerträglichen Gefühlsduseleien unter. Achtung, Spoiler!
Eine Rezension von Tobias Költzsch

Discovery Staffel 4: Star Trek mit viel zu viel Pathos
Artikel
  1. Telekom-Internet-Booster: Feldtest bringt über 600 statt 50 MBit/s ins Haus
    Telekom-Internet-Booster
    Feldtest bringt über 600 statt 50 MBit/s ins Haus

    Die Telekom beginnt mit 5G DSL. Dafür wird im Haushalt eine Außenantenne benötigt.

  2. Black Friday 2021 - Letzte Chance auf Deals am Cyber Monday
     
    Black Friday 2021 - Letzte Chance auf Deals am Cyber Monday

    In wenigen Stunden endet die Black-Friday-Woche bei Amazon und damit die Chance auf besondere Schnäppchen. Die spannendsten Deals gibt es hier.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Mobile Gaming: Playstation mit Patent für sehr speziellen Dualshock
    Mobile Gaming
    Playstation mit Patent für sehr speziellen Dualshock

    Sony macht Ernst mit mehr Mobile Gaming: Das Unternehmen hat eine besondere Variante des Dualshock-Controllers patentieren lassen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Cyber Monday • AMD Ryzen 7 5800X 348€ • 3 für 2: Star Wars & Marvel • Bis 300€ Direktabzug auf TVs, Laptops uvm. • Bis 50% auf beyerdynamic + Gratis-Kopfhörer • Cyber Monday bei MM/Saturn (u. a. Xiaomi 11 Lite 5G 299€) • Alternate (u. a. be quiet CPU-Kühler 29,99€) [Werbung]
    •  /