Abo
  • Services:
Anzeige
Screenshot des Test-Skripts
Screenshot des Test-Skripts (Bild: Alexander Merz/Golem.de)

Lovoo: Sicherheitslücke ermöglicht Erstellung von Bewegungsprofilen

Screenshot des Test-Skripts
Screenshot des Test-Skripts (Bild: Alexander Merz/Golem.de)

Über die Web-API des Dating-Dienstes ließen sich bis vor kurzem Informationen über Nutzer abrufen - auch ohne Login. Per Skript-Automatisierung können damit Bewegungsprofile erstellt werden.

Mit der sogenannten Radar-Funktion von Lovoo können sich Nutzer per Browser oder App andere Lovoo-Nutzer in ihrer Umgebung anzeigen lassen. Dabei wird nicht nur der Nutzername dargestellt, sondern unter anderem die ungefähre Entfernung zur eigenen Position. Golem.de-Leser Pascal Raszyk hat uns informiert, dass diese Funktion keinerlei Einschränkungen hat und jedem die Möglichkeit bietet, Bewegungsprofile einzusehen. Mittlerweile ist diese Lücke zum Teil geschlossen.

Anzeige

Web-API ist mitteilsam

Die Radar-Funktion der App basiert darauf, dass die Lovoo-Anwendung regelmäßig die Ortskoordinaten des Nutzers an den Dienst übermittelt, wenn dieser dem zugestimmt hat. Die Daten erhält die Radar-Anwendung über eine Web-API-URL. In der URL wird unter anderem als Parameter die aktuelle Position des abfragenden Nutzers übergeben sowie ein Suchradius. Daher weiß Lovoo, wo sich der Nutzer befindet, und kann darüber die Entfernung anderer Nutzer berechnen.

Pascal Raszyk entdeckte, dass die URL ohne Limitierungen abgefragt werden konnte. So war es ihm nicht nur möglich, Daten ohne gültiges Nutzer-Login zu erhalten, sondern auch in kürzester Zeit beliebig viele Abrufe mit frei gewählten Ortskoordinaten durchzuführen. Raszyk stellte uns ein Skript zur Verfügung, das mehrere URL-Abrufe durchführt und das Ergebnis auswertet. Bei jedem Aufruf wird dabei der abgefragte Standort leicht variiert, die jeweiligen Suchumgebungen überlappen sich dabei. Mit hoher Wahrscheinlichkeit tauchen dabei einige Nutzer in jedem der Ergebnisse auf, inklusive der Entfernungsangabe zu den abgefragten Ortskoordinaten.

Aus der Kombination mehrerer Ortskoordinaten und der zugehörigen Entfernungen kann per Triangulation die konkrete Position dieser Nutzer auf wenige Meter genau bestimmt werden.

Alternativ lässt sich mit diesem Konzept ein Nutzer automatisiert gezielt suchen und verfolgen, wenn zumindest sein ungefährer Standort bekannt ist.

Lovoo verweist auf absichtliche Ungenauigkeit

Wir konfrontierten Lovoo mit diesen Problemen und erhielten noch am gleichen Tag eine Antwort. Der Zugriff durch nicht einloggte Nutzer sei mittlerweile unterbunden - was tatsächlich der Fall ist, wie wir feststellten.

Ansonsten verweist Lovoo auf den Zweck des Dienstes: "Zur Erbringung unserer standortbezogenen Dienstleistungen [...] ist es notwendig und liegt in der Natur der Sache, Standortdaten zwischen Benutzern unserer Plattform zu teilen.". Außerdem betont der Anbieter die Freiwilligkeit der Standortübermittlung. Die Möglichkeit einer genauen Ortsbestimmung eines Nutzers verneint Lovoo: "Um unsere Nutzer - trotz standortbezogener Leistungen - besser zu schützen, wird die Genauigkeit der Koordinaten automatisch mit mind. 100 Meter reduziert."

Auf Anfrage von Golem.de widersprach Pascal Raszyk der Argumentation von Lovoo: "Trotz der Ungenauigkeit lässt sich die Bewegungsrichtung erkennen und damit auch ein Bewegungsprofil reproduzieren."


eye home zur Startseite
bauer_inc 18. Okt 2016

hey, krass, aber cool gemachte Webseite, mit der Karte und so. Geht das aktuell immer...

lemmer 08. Okt 2016

Bei der durchgeführten Prüfung der Bewegung der Nutzerprofile stellte sich heraus, dass...

Xiut 07. Okt 2016

Oh Gott.. da fehlt bei dir ja jegliches Verständnis und jegliche Logik.. Aber mal dir...

berndliefert 07. Okt 2016

Was ihr meint nennt sich "Trilateration".



Anzeige

Stellenmarkt
  1. SCHIFFL GmbH & Co. KG, Hamburg
  2. via Nash Direct GmbH, München
  3. TUI InfoTec GmbH, Hannover
  4. Leadec Management Central Europe BV & Co. KG, Stuttgart


Anzeige
Top-Angebote
  1. 219,90€ + 7,98€ Versand (Vergleichspreis 269€)
  2. ab 179,99€
  3. 499€ + 4,99€ Versand oder Abholung im Markt

Folgen Sie uns
       


  1. Fifa 18 im Test

    Kick mit mehr Taktik und mehr Story

  2. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  3. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV

  4. Bundesgerichtshof

    Keine Urheberrechtsverletzung durch Google-Bildersuche

  5. FedEX

    TNT verliert durch NotPetya 300 Millionen US-Dollar

  6. Arbeit aufgenommen

    Deutsches Internet-Institut nach Weizenbaum benannt

  7. Archer CR700v

    Kabelrouter von TP-Link doch nicht komplett abgesagt

  8. QC35 II

    Bose bringt Kopfhörer mit eingebautem Google Assistant

  9. Nach "Judenhasser"-Eklat

    Facebook erlaubt wieder gezielte Werbung an Berufsgruppen

  10. Tuxedo

    Linux-Notebook läuft bis zu 20 Stunden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Drei Netzanbieter warnt vor Upgrade auf iOS 11
  2. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS
  3. iPhone iOS 11 bekommt Schutz gegen unerwünschte Memory-Dumps

Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Messenger Wire-Server steht komplett unter Open-Source-Lizenz
  2. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
  3. Kreditrating Equifax' Krisenreaktion ist ein Desaster

  1. Re: natürlich ist das sinnvoll

    Sarkastius | 04:00

  2. Re: Ein Ersatz für Pulse?

    Seitan-Sushi-Fan | 03:22

  3. Re: Die Umfrage ist ziemlich wertlos ohne weitere...

    maverick1977 | 03:15

  4. Re: Vodafone Cable in Berlin Verbindungsabbrüche

    SzSch | 03:03

  5. Re: History repeats itself

    Seitan-Sushi-Fan | 03:00


  1. 18:13

  2. 17:49

  3. 17:39

  4. 17:16

  5. 17:11

  6. 16:49

  7. 16:17

  8. 16:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel