{"id":15111,"date":"2017-10-25T18:19:56","date_gmt":"2017-10-25T16:19:56","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=15111"},"modified":"2021-03-17T17:23:23","modified_gmt":"2021-03-17T15:23:23","slug":"dating-apps-threats","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/dating-apps-threats\/15111\/","title":{"rendered":"Sind Online-Dating-Apps tats\u00e4chlich sicher?"},"content":{"rendered":"

Online nach der Liebe des Lebens oder einem sporadischen Abenteuer zu suchen ist heutzutage nichts Neues mehr, denn Dating-Apps sind mittlerweile ein fester Bestandteil unseres Alltags. Um den idealen Partner zu finden, sind die Nutzer solcher Apps sogar\u00a0dazu bereit<\/a> Namen, Beruf, Hobbies und einige andere Informationen mit der \u00d6ffentlichkeit zu teilen. Dating-Apps haben also tagt\u00e4glich mit vertraulichen Daten, gelegentlich auch mit dem ein oder anderen Nacktfoto, zu tun. Aber wie vorsichtig gehen solche Apps mit diesen Daten um? Kaspersky Lab hat sich dazu entschieden, die Sicherheit dieser Apps auf Herz und Nieren zu pr\u00fcfen.
\n\"\"<\/a><\/p>\n

Unsere Experten haben die beliebtesten Online-Datingapps<\/a> (Tinder, Bumble, OkCupid, Badoo, Mamba, Zoosk, Happn, WeChat, Paktor) genauer unter die Lupe genommen<\/a> und die Bedrohungen, die diese Apps f\u00fcr Nutzer darstellen k\u00f6nnten, identifiziert. Wir haben die Hersteller im Voraus \u00fcber alle erkannten Schwachstellen informiert. Einige dieser Schwachstellen wurden bereits behoben, andere sollten in K\u00fcrze beseitigt werden.<\/p>\n

Risiken bei Dating-Apps<\/h2>\n

1. Wer sind Sie wirklich?<\/h3>\n

Unsere Forscher haben herausgefunden, dass 4 der 9 untersuchten Apps Kriminellen (aufgrund der von Usern selbst bereitgestellten Daten) die Erlaubnis geben, herauszufinden, wer sich hinter einem Nicknamen tats\u00e4chlich verbirgt. Tinder, Happn und Bumble zum Beispiel geben einen umfangreichen Einblick auf den Arbeits- oder Studienplatz des Users. Diese Information allein reicht aus, um nach den Social-Media-Profilen der Person Ausschau zu halten und so ihren richtigen Namen herauszufinden. Im Fall von Happn werden die Facebook-Konten sogar dazu genutzt, Daten mit dem Server auszutauschen. Mit minimalem Aufwand k\u00f6nnen Eindringlinge so die Namen, Nachnamen und andere Informationen, die auf der Facebook-Seite bereitgestellt worden sind, problemlos herausfinden.<\/p>\n

Wird zum Beispiel versucht der Datenverkehr eines pers\u00f6nlichen Ger\u00e4tes, auf dem die App Paktor installiert ist, abzufangen, wird die Person eventuell \u00fcberrascht sein festzustellen, dass auch die E-Mail-Adressen anderer App-Nutzer einsehbar sind.<\/p>\n

Zusammengefasst k\u00f6nnen wir sagen, dass es Kaspersky Lab gelungen ist, die Nutzer von Happn und Paktor auf anderen Social-Media-Kan\u00e4len zu 100% zu identifizieren. Bei Tinder und Bumble lag die Erfolgsrate bei jeweils 60% bzw. 50%.<\/p>\n

Wie vorsichtig gehen Dating-Apps tats\u00e4chlich mit unseren intimsten Geheimnissen um?<\/p>Tweet<\/a><\/blockquote>\n

2. Wo halten Sie sich auf?<\/h3>\n

Wenn Kriminelle Ihren genauen Standort herausfinden m\u00f6chten, dann sind ihnen 6 der 9 Apps dabei besonders behilflich. Lediglich OkCupid, Bumble und Badoo halten den Standort der User unter Verschluss. Die \u00fcbrigen Apps zeigen Ihnen problemlos die Entfernung, die sich zwischen Ihnen und der Person, an der Sie interessiert sind, an.<\/p>\n

Happn geht dabei noch ein ganzes St\u00fcck weiter. Die App signalisiert Ihnen nicht nur wie viele Meter Sie von einem anderen Nutzer trennen, sondern auch wie oft sich ihre Wege bereits gekreuzt haben. Zu unserem Erstaunen handelt es sich hierbei sogar um eines der haupts\u00e4chlichen Features der App.<\/p>\n

3. Ungesch\u00fctzte Daten\u00fcbertragung<\/h3>\n

Die meisten Apps \u00fcbertragen Daten \u00fcber einen SSL-verschl\u00fcsselten Kanal an den Server. Nat\u00fcrlich gibt es auch hier Ausnahmen.<\/p>\n

Wie unsere Forscher herausgefunden haben, ist Mamba in dieser Hinsicht eine der unsichersten Apps. Das Modul der Analytics, das in der Androidversion genutzt wird, verschl\u00fcsselt Daten wie Modell- und Seriennummer des Ger\u00e4tes nicht. Die iOS Version stellt eine Verbindung zum Server via HTTP her und sendet alle Daten unverschl\u00fcsselt und somit auch ungesch\u00fctzt; Nachrichten sind hierbei keine Ausnahme. Daten dieser Art sind nicht nur einsehbar, sondern k\u00f6nnen zudem ver\u00e4ndert werden. Ein typisches \u201eWie geht\u2019s?\u201c kann in eine beliebige Nachricht umgewandelt werden.<\/p>\n

Mamba ist allerdings nicht die einzige App, mit der man, dank einer unsicheren Verbindung, auf den Account einer anderen Person zugreifen kann. Bei Zoosk l\u00e4uft das Ganze \u00e4hnlich ab. Daten konnten bei Zoosk allerdings nur beim Upload neuer Fotos und Videos abgefangen werden; die Hersteller haben das Problem allerdings sofort behoben, nachdem wir darauf hingewiesen hatten.<\/p>\n

Tinder, Paktor, Bumble f\u00fcr Android und Badoo f\u00fcr iOS laden Fotos ebenfalls via HTTP hoch. Das erlaubt den Angreifern herauszufinden, auf welchem Profil ihr potenzielles Opfer unterwegs ist.<\/p>\n

Wenn Nutzer die Androidversionen der Apps Paktor, Badoo und Zoosk nutzen, k\u00f6nnen auch andere Details wie GPS-Daten und Ger\u00e4teinformationen in die falschen H\u00e4nde gelangen.<\/p>\n

4. Man-in-the-middle-Angriff (MITM)<\/h3>\n

Fast alle Online-Datingapp-Server nutzen das Kommunikationsprotokoll HTTPS, um Daten abh\u00f6rsicher zu \u00fcbertragen.\u00a0Durch die \u00dcberpr\u00fcfung der Echtheit des digitalen Zertifikats kann man sich also gegen MITM-Attacken wappnen. Bei derartigen Angriffen ist es m\u00f6glich, den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern vollst\u00e4ndig zu kontrollieren. Unsere Forscher haben im Rahmen der Untersuchung ein gef\u00e4lschtes Zertifikat installiert, um herauszufinden, ob die App dieses tats\u00e4chlich auf seine Echtheit \u00fcberpr\u00fcfen w\u00fcrde; w\u00e4re das nicht der Fall, w\u00fcrde die App die Spionage des Datenverkehrs anderer beg\u00fcnstigen.<\/p>\n

Es stellte sich heraus, dass 5 der 9 Apps anf\u00e4llig f\u00fcr MITM-Attacken sind; die Echtheit der Zertifikate wird bei diesen Anwendungen nicht \u00fcberpr\u00fcft. Da eine Vielzahl der Apps Facebook als Authentifizierungsanbieter konfiguriert, kann eine mangelnde oder fehlende \u00dcberpr\u00fcfung der Echtheit der Zertifikate zum Diebstahl des tempor\u00e4ren Autorisierungsschl\u00fcssels in Form eines Tokens f\u00fchren. Tokens haben eine G\u00fcltigkeit von 2-3 Wochen. In dieser Zeit k\u00f6nnen Kriminelle nicht nur uneingeschr\u00e4nkt auf das Profil der Dating-App, sondern auch auf die Social-Media-Konten des Opfers zugreifen.<\/p>\n

5. Superuser-Rechte<\/h3>\n

Egal welche Daten auf dem Ger\u00e4t gespeichert werden; mithilfe von Superuser-Rechten kann uneingeschr\u00e4nkt auf diese zugegriffen werden. Betroffen sind hiervon allerdings nur Besitzer von Android-Ger\u00e4ten; Malware, die sich Root-Zugriff auf iOS-Ger\u00e4te verschafft, ist (momentan noch) eine Seltenheit.<\/p>\n

Das Ergebnis unserer Analyse f\u00e4llt nicht besonders erfreulich aus: 8 von 9 Android-Anwendungen stellen Cyberkriminellen mithilfe von Superuser-Rechten deutlich zu viele Informationen zur Verf\u00fcgung. Auf diese Weise konnten unsere Forscher an Autorisierungs-Tokens f\u00fcr Social-Media-Kan\u00e4le fast aller Apps gelangen. Zwar waren die Zugangsdaten verschl\u00fcsselt, der Entschl\u00fcsselungscode konnte der App selbst jedoch leicht entwendet werden.<\/p>\n

Tinder, Bumble, OkCupid, Badoo, Happn und Paktor speichern den Gespr\u00e4chsverlauf und Userfotos gemeinsam mit den Tokens. Somit kann der Inhaber der Superuser-Zugriffsrechte ganz einfach an vertrauliche Informationen gelangen.<\/p>\n

Fazit<\/h3>\n

Unsere Untersuchung hat gezeigt, dass viele Dating-Apps nicht vorsichtig genug mit vertraulichen Nutzerdaten umgehen. Das ist allerdings kein Grund auf die Nutzung derartiger Dienste zu verzichten \u2013 man muss lediglich verstehen, wo die Gefahren dieser Apps lauern und wie m\u00f6gliche Risiken minimiert werden k\u00f6nnen.<\/p>\n

Das sollten Sie tun:<\/h3>\n