Check Point Research (CPR), die Threat-Intelligence-Abteilung von Check Point Software Technologies deckt eine alarmierende Schwachstelle in der Privatsphäre von Dating-Apps auf. Der Fokus der Untersuchung liegt auf der weit verbreiteten LGBTQ+-App Hornet, die von über zehn Millionen Nutzern heruntergeladen wurde. CPR konnte nachweisen, wie der genaue Standort dieser Nutzer mit erschreckender Präzision ermittelt werden kann. Dies birgt erhebliche Risiken, von der Verletzung der Privatsphäre bis hin zu ernsthaften Sicherheitsbedenken für Personen, die diese Plattformen nutzen.
Dating-Apps bieten die Möglichkeit, mit Menschen in der Nähe in Kontakt zu treten und nutzen in der Regel Standortdaten, um die Chancen auf reale Treffen der Nutzer zu erhöhen. Einige Apps können den Nutzern dabei sogar die eigene Entfernung zu anderen Nutzern anzeigen. Diese Funktion ist sehr nützlich für die Koordinierung von Treffen, da sie anzeigt, ob ein potentieller Partner nur eine kurze Strecke entfernt, oder etwas weiter weg ist.
Wenn der eigene Standort offen mit anderen Nutzern geteilt wird, kann dies allerdings zu ernsthaften Sicherheitsproblemen führen kann. Die Risiken werden deutlich, wenn man den möglichen Missbrauch durch eine neugierige Person bedenkt, die über Kenntnisse der Trilateration verfügt.
Mittels Trilateration, ein Messverfahren zur Positionsbestimmung, können die Zielkoordinaten bestimmt werden, indem die Koordinaten mehrerer Punkte und die Entfernung zwischen diesen Punkten und dem Ziel bekannt sind. In manchen Fällen reicht es aus, die genaue Entfernung zu zwei Punkten und nur die ungefähre Entfernung zu einem dritten Punkt zu kennen.
Trotz der Versuche, den Standort des Nutzers zu schützen, haben die Untersuchungen von CPR gezeigt, dass der Standort in reproduzierbaren Experimenten bis auf 10 Meter genau bestimmt werden konnte. Nach der verantwortungsvollen Offenlegung durch CPR haben die Hornet-Entwickler Schritte unternommen, um die Sicherheit der Nutzer zu verbessern und die Genauigkeit der Standortbestimmung auf 50 Meter zu verschlechtern.
Dennoch wird Nutzern empfohlen vorsichtig zu sein, welche Berechtigungen sie den Apps, die sie nutzen, gewähren, insbesondere in Bezug auf Standortdienste. Auch sollten Nutzer sich regelmäßig über die neuesten Sicherheitspraktiken und Updates der von ihnen verwendeten Apps informieren, um die eigene Privatsphäre zu schützen.
Vor allem bedenklich werden mögliche Sicherheitsverletzungen, wenn diese von Dritten missbraucht werden, um Personen aktiv zu schaden oder die Daten zu verkaufen. Diese Besorgnis ist bei Dating-Apps für Menschen mit diverser Orientierung noch ausgeprägter, da die Verwundbarkeit durch die Tatsache verstärkt wird, dass LGBTQ+-Leute in einigen Teilen der Welt keine oder wenig Rechte bezüglich ihrer sexuellen Orientierung in Anspruch nehmen können. In diesen Regionen ist es keine Wahl, sondern eine entscheidende Notwendigkeit, persönliche Informationen wie die Geolokalisierung privat zu halten.
Frühere Veröffentlichungen von Forschern zu diesem Thema haben Entwickler dazu veranlasst, Maßnahmen zu ergreifen, um die Sicherheit der Nutzer zu gewährleisten und die Preisgabe der Geolokalisierung zu verhindern. Gängige Praktiken dazu sind:
· Die Rundung von geografischen Koordinaten.
· Die Rundung und zufällige Änderung der Entfernung zu Nutzern in Suchergebnissen.
· Die Möglichkeit, die Entfernung zu verbergen.
Dass diese Versuche Wirkung zeigten, konnte bei erneuten Untersuchungen festgestellt werden, bei welchen die Standorte der Nutzer sehr viel ungenauer festgestellt werden konnten.
Alexander Chailytko, Cyber Security, Research & Innovation Manager bei Check Point: “Diese Untersuchung unterstreicht die Notwendigkeit eines erhöhten Bewusstseins und verbesserter Sicherheitsmaßnahmen bei Dating-Apps. Da digitale Räume immer mehr zu einem integralen Bestandteil persönlicher Beziehungen werden, müssen Sicherheit und Privatsphäre der Nutzer an erster Stelle stehen. CPR fordert App-Entwickler auf, diesen Aspekten Priorität einzuräumen und ermutigt die Nutzer, wachsam zu bleiben bezüglich der von ihnen erteilten Berechtigungen und einhergehender Schwachstellen.”
Info: Mehr Details und eine genaue Erklärung der Trilateration finden sich Check Point Blog: Not So Private After All: How Dating Apps Can Reveal Your Exact Location – Check Point Blog
#CheckPoint