Ein Test der Hacker-Webseite zeigt einige lokalisierte Grindr-Nutzer in der Innenstadt von Köln. Die Funktion klappt auch in reinen Wohngebieten. Die Webseite zeigt dazu Profilnamen und das Nutzerbild an, dessen Verpixelung leicht umgangen werden kann.
Ein Hacker weist auf neue Sicherheitslücken in der Dating-App hin, die das Unternehmen offenbar nicht schließen will. Man kann sich aber schützen.
Von Norbert Blech
In der beliebten schwulen Dating-App Grindr, die seit rund fünfeinhalb Jahren schwule Männer via iPhone oder Android-Handy in Kontakt bringt, sind neue Sicherheitslücken aufgetaucht. So ist es derzeit möglich, Nutzer an ihrem genauen Aufenthaltsort zu lokalisieren. Wie eine von einem Hacker erstellte Webseite zeigt, lassen sich damit aktuelle Stadtpläne mit Nutzern erstellen.
Die Grundlage von Grindr und ähnlichen Diensten ist, dass die App den Standort der Nutzer lokalisiert (über das GPS des Handys oder, etwas ungenauer, über Daten des Providers) und den Standort dann einem Webserver des Dienstes übermittelt. Der gibt im Gegenzug die Nutzerprofile in der Nähe an die App weiter.
Wie der anonyme Hacker nun herausgefunden hat, wird bei Grindr für eben jene Abfrage der Nutzer in der Nähe keine Verifizierung genutzt, sondern lediglich der angebliche Standort des Abfragenden. So kann man mit selbst programmierten Scripts die Nutzerdaten zu allen möglichen Standorten abfragen, zumal diese Abfragen auch in der Häufigkeit nicht limitiert scheinen.
Profildaten und Entfernung
Eine Demo-Ansicht der Grindr-App von der Webseite des Unternehmens. Viele User, die man in der App sieht, lassen sich derzeit einem genauen Ort zuordnen. Auf dem Smartphone sieht man nur die Entfernung.
Wie die App gibt die Datenbank nur Datensätze zu Nutzern heraus, die online sind oder es bis vor kurzem waren. Die Datenbankabfrage gibt die Entfernung haargenau an, in Kilometern mit bis zu 15 Nachkommastellen. Durch die Web-Datenbankabfrage von drei verschiedenen Orten aus lassen sich so die Standorte der User via Trilateration mehr oder weniger aufs Haus genau berechnen.
Queer.de konnte den vom Hacker beschriebenen Weg der öffentlichen Datennutzung mittels einer JSON-Abfrage erfolgreich überprüfen, mehr als ein Programmier-Grundwissen ist dazu nicht nötig. Der Grindr-Server gibt neben der Entfernung die Daten preis, die auch öffentlich im Profil stehen: Das sind unter anderem der Profilname, der Dateiname des Haupt-Profilbilds, Größenangaben oder der Beziehungsstatus. Nicht enthalten sind Klarnamen oder eMail-Adressen.
Gegenmaßnahme möglich
Gegen die genaue Ortsidentifizierung kann man sich schützen: Die genaue Entfernung eines Nutzers wird weder in der App noch in der Datenbankabfrage angegeben, wenn man im App-Menü unter Settings / Privacy die Funktion "Show Distance" abstellt.
Das ändert übrigens nichts daran, dass man anderen Usern in der Nähe angezeigt wird, die Dating-Grundfunktion also funktioniert: Der eigene Standort wird weiterhin an den Grindr-Server selbst übermittelt, die Datenbank sortiert weiter nach Entfernung. Durch diese Sortierung lässt sich durch einen Vergleich mit anderen Usern, die die genaue Entfernung aktiviert haben, der Aufenthaltsort dennoch einschätzen – allerdings nicht genau.
Für die anderen Nutzer sind die Daten allerdings äußerst exakt: Der unbekannte Hacker hat zu Demozwecken eine Webseite eingerichtet, die die Daten mit einem Kartendienst verbindet. Bei einem Test durch queer.de wurde das eigene Profil am Wohnort zum richtigen Haus angezeigt; weitere User, von denen man durch die App nur wusste, dass sie in der Nähe wohnen, ließen sich auf ihre vermutlichen Wohnhäuser lokalisieren. Und das teilweise bis in einen Hinterhof hinein.
Man braucht übrigens keinen Rechner, um den genauen Aufenthaltsort von Personen herauszufinden: Nutzt man Grindr auf seinem Handy relativ schnell von drei verschiedenen Orten aus und notiert man den eigenen Standort und die Entfernung des Gesuchten, der nicht den Ort gewechselt haben darf, reicht notfalls auch ein Stadtplan und ein Zirkel. Das geht übrigens mit allen Diensten, die eine genaue Entfernung angeben. Die Sicherheitslücke ermöglicht freilich eine Lokalisierung innerhalb von Sekunden vom PC aus.
Somit kann Grindr zu einem Fest für Stalker werden – notfalls muss man lange genug auf dem Hacker-Stadtplan suchen, um das Opfer zu finden. Immerhin: Eine direkte Suche per Usernamen oder ähnlichen Angaben ist nicht möglich; Ausgangspunkt der Datenbankabfrage ist immer eine Ortsangabe.
Youtube | In einem Video zeigt der Hacker die Möglichkeiten, die die Sicherheitslücke bietet
Weitere Sicherheitslücke
Zugleich könnten sich in manchen Ländern auch Behörden für die Daten interessieren, die einem Grindr frei Haus liefert. Regime, die Homosexuelle verfolgen, oder Personen, die Homosexuelle erpressen, wären unter Umständen nicht mal mehr auf eine Lockvogel-Arbeit angewiesen.
Der Hacker behauptet, er habe daher mit einer Kurznachricht über 100.000 Grindr-Nutzer auf der ganzen Welt vor der Lokalisierungsmöglichkeit gewarnt. Dazu nutzte er eine weitere Sicherheitslücke des Systems: Sie ermöglicht es, Nachrichten unter einem anderen User-Account abzuschicken. Neben einem eigenen (temporären) Grindr-Account braucht man dazu nur die Profil-ID einer Person, wie sie etwa die oben beschriebene Datenbankabfrage heraus gibt.
Auch diese Lücke scheint bislang nicht geschlossen. Bereits in der Vergangenheit hatte es mehrere Sicherheitsprobleme bei Grindr gegeben; vor zwei Jahren konnte man sich durch einen Hack auf einer Webseite als ein x-beliebiger Grindr-Nutzer ausgeben und etwa dessen Nachrichten lesen (queer.de berichtete). Grindr brauchte damals einige Tage, um die Lücke zu schließen. Wollte das Unternehmen die neue Lokalisierungs-Lücke abschalten, würden bisherige App-Versionen nicht mehr funktionieren.
Das Unternehmen scheint das aber nicht mal zu planen: Auf seiner Webseite und in seinen sozialen Accounts weist Grindr nicht auf das aktuelle Problem hin. Und gegenüber "Pink News" gab Grindr an, dass man in der genauen Ortung der eigenen Nutzer keine Sicherheitslücke sehe. Besorgte Nutzer könnten schließlich einfach die Lokalisierungsfunktion abschalten.
Der anonyme Hacker, der Grindr angeblich schon seit Wochen auf das Problem hingewiesen haben will und dessen Demo-Webseite nun auch schon einige Tage online ist, hatte noch geschrieben: "Während Du in einem Land leben magst, wo Grinder keine große Sache ist, gibt es Länder wie den Sudan oder Jemen, wo anti-homosexuelle Gesetze mit harten Konsequenzen wie der Todesstrafe verabschiedet wurden." Dass Grindr-Nutzer in solchen Ländern "unnötigerweise einem hohen Risiko ausgesetzt werden", sollte genug Grund für das Unternehmen sein, das System zu ändern. (nb)
:/