Hauptmenü Accesskey 1 Hauptinhalt 2 Footer 3 Suche 4 Impressum 8 Kontakt 9 Startseite 0
Neu Presse Tagesbild TV Termine
© Queer Communications GmbH
https://queer.de/?22182

Ein Test der Hacker-Webseite zeigt einige lokalisierte Grindr-Nutzer in der Innenstadt von Köln. Die Funktion klappt auch in reinen Wohngebieten. Die Webseite zeigt dazu Profilnamen und das Nutzerbild an, dessen Verpixelung leicht umgangen werden kann.

Ein Hacker weist auf neue Sicherheitslücken in der Dating-App hin, die das Unternehmen offenbar nicht schließen will. Man kann sich aber schützen.

Von Norbert Blech

In der beliebten schwulen Dating-App Grindr, die seit rund fünfeinhalb Jahren schwule Männer via iPhone oder Android-Handy in Kontakt bringt, sind neue Sicherheitslücken aufgetaucht. So ist es derzeit möglich, Nutzer an ihrem genauen Aufenthaltsort zu lokalisieren. Wie eine von einem Hacker erstellte Webseite zeigt, lassen sich damit aktuelle Stadtpläne mit Nutzern erstellen.

Die Grundlage von Grindr und ähnlichen Diensten ist, dass die App den Standort der Nutzer lokalisiert (über das GPS des Handys oder, etwas ungenauer, über Daten des Providers) und den Standort dann einem Webserver des Dienstes übermittelt. Der gibt im Gegenzug die Nutzerprofile in der Nähe an die App weiter.

Wie der anonyme Hacker nun herausgefunden hat, wird bei Grindr für eben jene Abfrage der Nutzer in der Nähe keine Verifizierung genutzt, sondern lediglich der angebliche Standort des Abfragenden. So kann man mit selbst programmierten Scripts die Nutzerdaten zu allen möglichen Standorten abfragen, zumal diese Abfragen auch in der Häufigkeit nicht limitiert scheinen.

Profildaten und Entfernung


Eine Demo-Ansicht der Grindr-App von der Webseite des Unternehmens. Viele User, die man in der App sieht, lassen sich derzeit einem genauen Ort zuordnen. Auf dem Smartphone sieht man nur die Entfernung.

Wie die App gibt die Datenbank nur Datensätze zu Nutzern heraus, die online sind oder es bis vor kurzem waren. Die Datenbankabfrage gibt die Entfernung haargenau an, in Kilometern mit bis zu 15 Nachkommastellen. Durch die Web-Datenbankabfrage von drei verschiedenen Orten aus lassen sich so die Standorte der User via Trilateration mehr oder weniger aufs Haus genau berechnen.

Queer.de konnte den vom Hacker beschriebenen Weg der öffentlichen Datennutzung mittels einer JSON-Abfrage erfolgreich überprüfen, mehr als ein Programmier-Grundwissen ist dazu nicht nötig. Der Grindr-Server gibt neben der Entfernung die Daten preis, die auch öffentlich im Profil stehen: Das sind unter anderem der Profilname, der Dateiname des Haupt-Profilbilds, Größenangaben oder der Beziehungsstatus. Nicht enthalten sind Klarnamen oder eMail-Adressen.

Gegenmaßnahme möglich

Gegen die genaue Ortsidentifizierung kann man sich schützen: Die genaue Entfernung eines Nutzers wird weder in der App noch in der Datenbankabfrage angegeben, wenn man im App-Menü unter Settings / Privacy die Funktion "Show Distance" abstellt.

Das ändert übrigens nichts daran, dass man anderen Usern in der Nähe angezeigt wird, die Dating-Grundfunktion also funktioniert: Der eigene Standort wird weiterhin an den Grindr-Server selbst übermittelt, die Datenbank sortiert weiter nach Entfernung. Durch diese Sortierung lässt sich durch einen Vergleich mit anderen Usern, die die genaue Entfernung aktiviert haben, der Aufenthaltsort dennoch einschätzen – allerdings nicht genau.

Für die anderen Nutzer sind die Daten allerdings äußerst exakt: Der unbekannte Hacker hat zu Demozwecken eine Webseite eingerichtet, die die Daten mit einem Kartendienst verbindet. Bei einem Test durch queer.de wurde das eigene Profil am Wohnort zum richtigen Haus angezeigt; weitere User, von denen man durch die App nur wusste, dass sie in der Nähe wohnen, ließen sich auf ihre vermutlichen Wohnhäuser lokalisieren. Und das teilweise bis in einen Hinterhof hinein.

Man braucht übrigens keinen Rechner, um den genauen Aufenthaltsort von Personen herauszufinden: Nutzt man Grindr auf seinem Handy relativ schnell von drei verschiedenen Orten aus und notiert man den eigenen Standort und die Entfernung des Gesuchten, der nicht den Ort gewechselt haben darf, reicht notfalls auch ein Stadtplan und ein Zirkel. Das geht übrigens mit allen Diensten, die eine genaue Entfernung angeben. Die Sicherheitslücke ermöglicht freilich eine Lokalisierung innerhalb von Sekunden vom PC aus.

Somit kann Grindr zu einem Fest für Stalker werden – notfalls muss man lange genug auf dem Hacker-Stadtplan suchen, um das Opfer zu finden. Immerhin: Eine direkte Suche per Usernamen oder ähnlichen Angaben ist nicht möglich; Ausgangspunkt der Datenbankabfrage ist immer eine Ortsangabe.

Youtube | In einem Video zeigt der Hacker die Möglichkeiten, die die Sicherheitslücke bietet

Weitere Sicherheitslücke

Zugleich könnten sich in manchen Ländern auch Behörden für die Daten interessieren, die einem Grindr frei Haus liefert. Regime, die Homosexuelle verfolgen, oder Personen, die Homosexuelle erpressen, wären unter Umständen nicht mal mehr auf eine Lockvogel-Arbeit angewiesen.

Der Hacker behauptet, er habe daher mit einer Kurznachricht über 100.000 Grindr-Nutzer auf der ganzen Welt vor der Lokalisierungsmöglichkeit gewarnt. Dazu nutzte er eine weitere Sicherheitslücke des Systems: Sie ermöglicht es, Nachrichten unter einem anderen User-Account abzuschicken. Neben einem eigenen (temporären) Grindr-Account braucht man dazu nur die Profil-ID einer Person, wie sie etwa die oben beschriebene Datenbankabfrage heraus gibt.

Auch diese Lücke scheint bislang nicht geschlossen. Bereits in der Vergangenheit hatte es mehrere Sicherheitsprobleme bei Grindr gegeben; vor zwei Jahren konnte man sich durch einen Hack auf einer Webseite als ein x-beliebiger Grindr-Nutzer ausgeben und etwa dessen Nachrichten lesen (queer.de berichtete). Grindr brauchte damals einige Tage, um die Lücke zu schließen. Wollte das Unternehmen die neue Lokalisierungs-Lücke abschalten, würden bisherige App-Versionen nicht mehr funktionieren.

Das Unternehmen scheint das aber nicht mal zu planen: Auf seiner Webseite und in seinen sozialen Accounts weist Grindr nicht auf das aktuelle Problem hin. Und gegenüber "Pink News" gab Grindr an, dass man in der genauen Ortung der eigenen Nutzer keine Sicherheitslücke sehe. Besorgte Nutzer könnten schließlich einfach die Lokalisierungsfunktion abschalten.

Der anonyme Hacker, der Grindr angeblich schon seit Wochen auf das Problem hingewiesen haben will und dessen Demo-Webseite nun auch schon einige Tage online ist, hatte noch geschrieben: "Während Du in einem Land leben magst, wo Grinder keine große Sache ist, gibt es Länder wie den Sudan oder Jemen, wo anti-homosexuelle Gesetze mit harten Konsequenzen wie der Todesstrafe verabschiedet wurden." Dass Grindr-Nutzer in solchen Ländern "unnötigerweise einem hohen Risiko ausgesetzt werden", sollte genug Grund für das Unternehmen sein, das System zu ändern. (nb)

Kommentare (16) Kommentieren
Teilen Teilen (89)


-w-

Top-Links (Anzeige)
-w-
Pride-Saison 2018
Schwerpunkt
Online-Dating

Berlin: Prozess um mutmaßlichen Raubmord an schwulem Lehrer beginnt

#NoDiscrimination statt #NoFats

"Keine Asiaten": Schwuler plant Sammelklage gegen Grindr

16 Kommentare

Debatte bei Facebook
Kommentar schreiben

#1 GerhardAnonym
#2 RaceXYAnonym
  • 26.08.2014, 21:31h
  • Naaaja, also das mit den Positions-Daten sehe ich jetzt nicht unbedingt als so hyper-tragisch.

    Das sollte jedem klar sein der solche geobasierten Dienste nutz die den eigenen Standort in irgend einer Art und Weise für andere anzeigen.

    Irgendwie muss ja auch die App mit deren Server kommunizieren und bei den meisten anderen Apps ist es auch kein Hexenwerk deren API zu reversen und sich da selbst einzuklinken.

    Für die Location find ich das sogar etwas praktisch, da man halt auch einfach schauen kann was für Leute irgendwo anders online sind.
    (also im Prinzip wie bei GR).
    Wollte mir deswegen selbst schon man die API von Grindr anschauen, aber das brauch ich jetzt ja nicht mehr ;)

    Die andere Sache, dass man einen beliebigen Absender in eine Nachricht schreiben kann ist natürlich schon sehr viel schwerwiegender.
    Da lässt sich natürlich schon was an Schindluder treiben bzw. böses Blut stiften - vor allem gefährlich da der grösste Teil der User sich über solche Möglichkeiten nicht im Klaren ist, das so etwas geht.
  • Antworten » | Direktlink »
#3 puschelchenProfil
  • 26.08.2014, 23:46h irgendwo in nrw
  • Antwort auf #2 von RaceXY

  • "Naaaja, also das mit den Positions-Daten sehe ich jetzt nicht unbedingt als so hyper-tragisch."

    Dann empfehle ich, einfach nochmal den letzten Absatz zu lesen und in Ruhe zu reflektieren.
  • Antworten » | Direktlink »
#4 Thom_ass1973
  • 27.08.2014, 09:10h
  • Mann wie haben das früher nur alles OFFLINE geschafft ?!
    Manchmal wünschte ich mir einfach mal einen globalen Internet-Ausfall ...
    UNGELOGEN.: Letzte Woche Montag passiert , sitze in einer der Kölner Nachtsaunen im Whirlpool, neben mir ein wasserstoffblondes Bübchen und was macht er?! Spielt mit seinem Smartphone - scheint ne neue Variante von SaferSex zu sein ....
  • Antworten » | Direktlink »
#5 daVinci6667
  • 27.08.2014, 09:17h

  • Wären wir an einem Ort des Friedens und der Harmonie würde ich nicht zögern. Alle dürften meine Adresse wissen und vorbeikommen. Ich würde Kaffee und Kuchen bereitstellen und ein paar kalte Biere bereithalten. Falls ich Single wäre, könnte man bei Gefallen gleich ins Schlafzimmer wechseln. Wie praktisch, man müsste nicht mal ausser Haus...

    Doch die Welt ist leider nicht so, wie es sich normale friedliebende unreligiöse Menschen wünschen.

    Deshalb liebe Mitbrüder seid bitte vorsichtig. Es gibt leider genug irre da draussen um diese App besser nicht mehr oder nur sehr vorsichtig zu nutzen.
  • Antworten » | Direktlink »
#6 LaurentEhemaliges Profil
  • 27.08.2014, 09:25h
  • Antwort auf #1 von Gerhard
  • Ich wusste gar nicht, dass es so etwas überhaupt gibt.

    Es ist mir eh ein Rätsel, dass in den neuen Medien sensibelste Daten blauäugig preisgegeben werden, ansonsten aber hartnäckig auf Datenschutz gepocht wird.

    "Zugleich könnten sich in manchen Ländern auch Behörden für die Daten interessieren, die einem Grindr frei Haus liefert. Regime, die Homosexuelle verfolgen, oder Personen, die Homosexuelle erpressen, wären unter Umständen nicht mal mehr auf eine Lockvogel-Arbeit angewiesen."

    Ich glaube nicht, dass man da in fremde Länder gehen muss oder es nur Erpresser interessieren dürfte.
    Wie sieht's denn mit heimischen Kriminellen, Schwulenhassern... aus?
  • Antworten » | Direktlink »
#7 sanscapote
  • 27.08.2014, 10:04h
  • Uns unbekannt.
    Wozu brauchts Grindr?
    Keine Lust mehr einen suessen Mann z.B. beim Pétanque-Spiel oder dem anschliessenden Pastice mit Augen und Worten anzumachen?

    Fuer uns geht LIVE von VIRTUELL !
  • Antworten » | Direktlink »
#8 FennekAnonym
#9 PorokusiAnonym
  • 27.08.2014, 13:06h
  • Hornet wurde auch schon geknackt. Da gibt es nicht nur ne demoversion online, sondern die genauen userstandorte ohne verpixelte Gesichter. Würde vorsichtig sein mit den Apps. Wird auch bei scruff nur eine Frage der zeit sein.
  • Antworten » | Direktlink »
#10 FoXXXynessEhemaliges Profil

Kommentar schreiben


alle (neue zuerst) alle (chronologisch)
Neu auf queer.de
Armenien: LGBT stürmen Polizeiwache
Kabinett beschließt "divers" als dritte Geschlechtsoption
USA: Transfrau gewinnt erstmals Gouverneurs-Vorwahlen
Toms schwule Welt
"Gehabe" nicht schwul genug: Österreich lehnt Asylantrag eines Afghanen ab
Jens Spahn: Homo-"Heilung" ist "Quatsch" und "Körperverletzung"