Sind Online-Dating-Apps tatsächlich sicher?

Privatsphäre Spezielle Projekte

Online nach der Liebe des Lebens oder einem sporadischen Abenteuer zu suchen ist heutzutage nichts Neues mehr, denn Dating-Apps sind mittlerweile ein fester Bestandteil unseres Alltags. Um den idealen Partner zu finden, sind die Nutzer solcher Apps sogar dazu bereit Namen, Beruf, Hobbies und einige andere Informationen mit der Öffentlichkeit zu teilen. Dating-Apps haben also tagtäglich mit vertraulichen Daten, gelegentlich auch mit dem ein oder anderen Nacktfoto, zu tun. Aber wie vorsichtig gehen solche Apps mit diesen Daten um? Kaspersky Lab hat sich dazu entschieden, die Sicherheit dieser Apps auf Herz und Nieren zu prüfen.

Unsere Experten haben die beliebtesten Online-Datingapps (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor) genauer unter die Lupe genommen und die Bedrohungen, die diese Apps für Nutzer darstellen könnten, identifiziert. Wir haben die Hersteller im Voraus über alle erkannten Schwachstellen informiert. Einige dieser Schwachstellen wurden bereits behoben, andere sollten in Kürze beseitigt werden.

Risiken bei Dating-Apps

1. Wer sind Sie wirklich?

Unsere Forscher haben herausgefunden, dass 4 der 9 untersuchten Apps Kriminellen (aufgrund der von Usern selbst bereitgestellten Daten) die Erlaubnis geben, herauszufinden, wer sich hinter einem Nicknamen tatsächlich verbirgt. Tinder, Happn und Bumble zum Beispiel geben einen umfangreichen Einblick auf den Arbeits- oder Studienplatz des Users. Diese Information allein reicht aus, um nach den Social-Media-Profilen der Person Ausschau zu halten und so ihren richtigen Namen herauszufinden. Im Fall von Happn werden die Facebook-Konten sogar dazu genutzt, Daten mit dem Server auszutauschen. Mit minimalem Aufwand können Eindringlinge so die Namen, Nachnamen und andere Informationen, die auf der Facebook-Seite bereitgestellt worden sind, problemlos herausfinden.

Wird zum Beispiel versucht der Datenverkehr eines persönlichen Gerätes, auf dem die App Paktor installiert ist, abzufangen, wird die Person eventuell überrascht sein festzustellen, dass auch die E-Mail-Adressen anderer App-Nutzer einsehbar sind.

Zusammengefasst können wir sagen, dass es Kaspersky Lab gelungen ist, die Nutzer von Happn und Paktor auf anderen Social-Media-Kanälen zu 100% zu identifizieren. Bei Tinder und Bumble lag die Erfolgsrate bei jeweils 60% bzw. 50%.

2. Wo halten Sie sich auf?

Wenn Kriminelle Ihren genauen Standort herausfinden möchten, dann sind ihnen 6 der 9 Apps dabei besonders behilflich. Lediglich OkCupid, Bumble und Badoo halten den Standort der User unter Verschluss. Die übrigen Apps zeigen Ihnen problemlos die Entfernung, die sich zwischen Ihnen und der Person, an der Sie interessiert sind, an.

Happn geht dabei noch ein ganzes Stück weiter. Die App signalisiert Ihnen nicht nur wie viele Meter Sie von einem anderen Nutzer trennen, sondern auch wie oft sich ihre Wege bereits gekreuzt haben. Zu unserem Erstaunen handelt es sich hierbei sogar um eines der hauptsächlichen Features der App.

3. Ungeschützte Datenübertragung

Die meisten Apps übertragen Daten über einen SSL-verschlüsselten Kanal an den Server. Natürlich gibt es auch hier Ausnahmen.

Wie unsere Forscher herausgefunden haben, ist Mamba in dieser Hinsicht eine der unsichersten Apps. Das Modul der Analytics, das in der Androidversion genutzt wird, verschlüsselt Daten wie Modell- und Seriennummer des Gerätes nicht. Die iOS Version stellt eine Verbindung zum Server via HTTP her und sendet alle Daten unverschlüsselt und somit auch ungeschützt; Nachrichten sind hierbei keine Ausnahme. Daten dieser Art sind nicht nur einsehbar, sondern können zudem verändert werden. Ein typisches „Wie geht’s?“ kann in eine beliebige Nachricht umgewandelt werden.

Mamba ist allerdings nicht die einzige App, mit der man, dank einer unsicheren Verbindung, auf den Account einer anderen Person zugreifen kann. Bei Zoosk läuft das Ganze ähnlich ab. Daten konnten bei Zoosk allerdings nur beim Upload neuer Fotos und Videos abgefangen werden; die Hersteller haben das Problem allerdings sofort behoben, nachdem wir darauf hingewiesen hatten.

Tinder, Paktor, Bumble für Android und Badoo für iOS laden Fotos ebenfalls via HTTP hoch. Das erlaubt den Angreifern herauszufinden, auf welchem Profil ihr potenzielles Opfer unterwegs ist.

Wenn Nutzer die Androidversionen der Apps Paktor, Badoo und Zoosk nutzen, können auch andere Details wie GPS-Daten und Geräteinformationen in die falschen Hände gelangen.

4. Man-in-the-middle-Angriff (MITM)

Fast alle Online-Datingapp-Server nutzen das Kommunikationsprotokoll HTTPS, um Daten abhörsicher zu übertragen. Durch die Überprüfung der Echtheit des digitalen Zertifikats kann man sich also gegen MITM-Attacken wappnen. Bei derartigen Angriffen ist es möglich, den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern vollständig zu kontrollieren. Unsere Forscher haben im Rahmen der Untersuchung ein gefälschtes Zertifikat installiert, um herauszufinden, ob die App dieses tatsächlich auf seine Echtheit überprüfen würde; wäre das nicht der Fall, würde die App die Spionage des Datenverkehrs anderer begünstigen.

Es stellte sich heraus, dass 5 der 9 Apps anfällig für MITM-Attacken sind; die Echtheit der Zertifikate wird bei diesen Anwendungen nicht überprüft. Da eine Vielzahl der Apps Facebook als Authentifizierungsanbieter konfiguriert, kann eine mangelnde oder fehlende Überprüfung der Echtheit der Zertifikate zum Diebstahl des temporären Autorisierungsschlüssels in Form eines Tokens führen. Tokens haben eine Gültigkeit von 2-3 Wochen. In dieser Zeit können Kriminelle nicht nur uneingeschränkt auf das Profil der Dating-App, sondern auch auf die Social-Media-Konten des Opfers zugreifen.

5. Superuser-Rechte

Egal welche Daten auf dem Gerät gespeichert werden; mithilfe von Superuser-Rechten kann uneingeschränkt auf diese zugegriffen werden. Betroffen sind hiervon allerdings nur Besitzer von Android-Geräten; Malware, die sich Root-Zugriff auf iOS-Geräte verschafft, ist (momentan noch) eine Seltenheit.

Das Ergebnis unserer Analyse fällt nicht besonders erfreulich aus: 8 von 9 Android-Anwendungen stellen Cyberkriminellen mithilfe von Superuser-Rechten deutlich zu viele Informationen zur Verfügung. Auf diese Weise konnten unsere Forscher an Autorisierungs-Tokens für Social-Media-Kanäle fast aller Apps gelangen. Zwar waren die Zugangsdaten verschlüsselt, der Entschlüsselungscode konnte der App selbst jedoch leicht entwendet werden.

Tinder, Bumble, OkCupid, Badoo, Happn und Paktor speichern den Gesprächsverlauf und Userfotos gemeinsam mit den Tokens. Somit kann der Inhaber der Superuser-Zugriffsrechte ganz einfach an vertrauliche Informationen gelangen.

Fazit

Unsere Untersuchung hat gezeigt, dass viele Dating-Apps nicht vorsichtig genug mit vertraulichen Nutzerdaten umgehen. Das ist allerdings kein Grund auf die Nutzung derartiger Dienste zu verzichten – man muss lediglich verstehen, wo die Gefahren dieser Apps lauern und wie mögliche Risiken minimiert werden können.

Das sollten Sie tun:

  • Nutzen Sie ein VPN;
  • Installieren Sie Sicherheitslösungen auf all Ihren Geräten;
  • Teilen Sie nur die nötigsten Informationen mit Fremden.

Das sollten Sie vermeiden:

  • Verbinden Sie Ihr Social-Media-Konto nicht mit dem öffentlichen Profil einer Dating-App; geben Sie nie Ihren richtigen Namen, Nachnamen und Arbeitsplatz an;
  • Geben Sie nie Ihre E-Mail-Adresse preis;
  • Nutzen Sie Dating-Apps nie über ungeschützte WLAN-Netzwerke.