Links, links, links, rechts, links. Ältere Leser werden hierbei vielleicht noch ans Marschieren denken, die jüngeren wissen: Es geht um Tinder. Die App, in der sich die Profile samt Fotos potenzieller Datingpartner auf dem Handydisplay nach rechts (gefällt mir) oder links (gefällt mir nicht) wischen lassen – mit dem Ziel, dass es zum Match kommt – wird inzwischen jeden Tag von zehn Millionen Menschen genutzt. Und sie ist unsicher.

Das berichten Sicherheitsforscher des israelischen Unternehmens Checkmarx. Angreifer können ihrer Analyse zufolge unter Umständen genau sehen, wer bei welchem Profilbild nach links oder rechts wischt, und sogar eigene Fotos einschleusen und somit unangebrachte Inhalte, Werbung oder weiteren Schadcode verbreiten. Auf die Nachrichten, die sich Nutzer untereinander über die App senden, oder die Kontoinformationen der Angemeldeten könnte zwar nicht zugegriffen werden, schreiben die Forscher. Aber die Lücke reiche aus, um etwa ein Profil über die – auch sexuellen – Vorlieben eines bestimmten Nutzers zu erstellen.

Einen Blick in die Tinder-Aktivitäten eines Nutzers zu bekommen, ist dabei erstaunlich einfach. Die Angreifer müssen sich lediglich im selben WLAN befinden (wer über die Mobilfunkverbindung tindert, ist nicht betroffen), also etwa im gleichen Firmennetzwerk, im kabellosen Netz eines Hotels oder in einem öffentlichen Hotspot.

Profilfotos überträgt Tinder unverschlüsselt

Sowohl in der Android- als auch der iOS-Version seiner App verzichtet Tinder bei der Übertragung von Fotos auf eine verschlüsselte Verbindung über das HTTPS-Protokoll. Im Browser erkennt man HTTPS-Verbindungen an dem Schloss, das in der Adresszeile angezeigt wird. Daten, wie sie etwa bei Einkäufen oder dem Onlinebanking übermittelt werden, sind dadurch verschlüsselt und können nicht einfach abgefangen und mitgelesen werden. Auch in mobilen Apps ist HTTPS für Nutzerdaten mittlerweile Standard.

Im Fall der Tinder-Fotos ist das nicht der Fall. Angreifer, die den Datenverkehr in einem WLAN analysieren, können deshalb genau verfolgen, welche Nutzerin oder welcher Nutzer gerade welches Profilbild angezeigt bekommt. Und weil ein ablehnender Linkswisch 278 Byte überträgt und ein positiver Rechtswisch 374 Byte, konnten die Forscher von Checkmarx sehen, wie Nutzer auf die vorgeschlagenen Partnersuchenden reagieren. Mit einer Testsoftware namens Tinderdrift zeigen sie in einem Video, wie einfach das geht. 

Dem Onlinemagazin Wired sagte ein Sprecher von Tinder, die browserbasierte Version des Dienstes unterstütze bereits HTTPS und man plane, die Sicherheitsvorkehrungen auch auf die Apps auszuweiten. Checkmarx empfiehlt dem Unternehmen zudem, auch die Übertragung von Likes und Ablehnungen mit zusätzlichem Datenrauschen anzufüttern.

Auch andere Dating-Apps sind unsicher

Tinder sagte Wired ebenfalls, die Profilfotos der Nutzer seien ohnehin bereits öffentlich – die App bezieht die Informationen aus dem verknüpften Facebook-Konto. Das stimmt zwar, aber die Interaktionen mit anderen Nutzern sollten deshalb natürlich nicht ebenfalls öffentlich sein. Auch wenn es sich bei den vorgestellten Angriffen wie so häufig um ein theoretisches Szenario handelt, sollte Tinder auf eine so weitverbreitete Verschlüsselung wie HTTPS nicht verzichten.

Das gilt auch für andere Dating-Plattformen. Bereits im vergangenen Oktober fanden Experten von Kaspersky heraus, dass viele Apps es mit der Sicherheit nicht sehr genau nehmen. Sowohl bei Tinder als auch bei OK Cupid, Badoo und Happn fanden sie heraus, wie einfach es ist, anhand der übertragenen Daten an teils private Informationen zu gelangen, etwa den Link zu verknüpften Instagram-Profilen oder sogar den aktuellen Standort der Nutzer, was Stalking oder Schlimmeres ermöglicht.

In vielen Fällen, schrieben die Sicherheitsforscher damals schon, liege das an mangelnder HTTPS-Verschlüsselung. Inzwischen haben einige Dienste in diesem Punkt nachgebessert. Doch wer Dating-Apps nutzt, sollte sich weiterhin über eines im Klaren sein: Möglicherweise gucken nicht nur die Mitbürger in der überfüllten U-Bahn während des munteren Wischens über die Schulter – sondern auch voyeuristische Hacker.