In einer bahnbrechenden Analyse von Check Point Research (CPR) wurden Sicherheitslücken in mehreren populären Dating-Apps aufgedeckt, die zusammen über 10 Millionen Mal heruntergeladen wurden.

Im Fokus der Untersuchung standen die Risiken, die mit der Nutzung von Geolokalisierungsdaten verbunden sind – eine Funktion, die eigentlich dazu gedacht ist, Nutzer mit potenziellen Matches in ihrer Umgebung zu verbinden, jedoch deren Privatsphäre gefährden kann.

Unter den geprüften Apps wurde bei „Hornet“, einer weit verbreiteten Dating-Plattform für homosexuelle Männer, eine erhebliche Sicherheitslücke festgestellt, die die genauen Standorte der Nutzer offenlegen könnte.

Die Forschung von CPR hob eine Technik hervor, mit der Benutzerkoordinaten anhand von Entfernungsinformationen ermittelt werden können. Trotz der Bemühungen von Hornet, die Privatsphäre der Nutzer durch Deaktivierung der Entfernungsanzeige zu schützen, entwickelte CPR eine Methode, die in kontrollierten Experimenten eine Standortgenauigkeit von bis zu 10 Metern erreichte.

Nach der Entdeckung haben die Entwickler von Hornet Maßnahmen ergriffen, um diese Risiken zu mindern, und die Standortgenauigkeit auf 50 Meter reduziert. Die ursprüngliche Schwachstelle stellte jedoch ein erhebliches Risiko für die Privatsphäre der Nutzer dar.

Verständnis von Geolokalisierung und möglichen Gefahren

Geolokalisierungstechnologie kann den realen geografischen Standort eines Geräts mit unterschiedlichen Genauigkeitsgraden bestimmen. Obwohl diese Technologie zahlreiche Vorteile bietet, birgt sie auch verschiedene Risiken für die Privatsphäre und Sicherheit, wie unbefugten Datenzugriff, unbeabsichtigtes Teilen mit Dritten und potenzielle Ausnutzung durch bösartige Akteure.

Methodik zur Entfernungsbestimmung

CPR sortierte die Nutzer nach aufsteigender Entfernung und nutzte zwei bekannte Entfernungen, um den Standort des Zielnutzers zu schätzen. Zusätzlich ermöglichte die Registrierung eines zusätzlichen Kontos mit steuerbaren Koordinaten den Forschern, ihre Suche zu verfeinern und die Distanz zwischen dem Ziel- und dem Hilfskonto zu verringern, was eine bemerkenswerte Präzision erzielte.

Trilaterationsmethodik

Die Forschung nutzte einen zweistufigen Trilaterationsprozess, der zunächst zwei mögliche Kandidatenstandorte identifizierte, bevor mit Informationen aus einem dritten Referenzpunkt die korrekte Lösung ausgewählt wurde. Diese Methode ermöglichte eine erstaunlich hohe Genauigkeit bei der Bestimmung von Nutzerstandorten.

Die in der Hornet-Dating-App entdeckten Sicherheitslücken unterstreichen die erheblichen Risiken für die Privatsphäre, die mit der Preisgabe von Geolokalisierungsdaten einhergehen. Trotz der von Hornets Entwicklern vorgenommenen Verbesserungen besteht das Potenzial für die Standortbestimmung weiterhin.

CPR rät Nutzern zur Vorsicht bei App-Berechtigungen und empfiehlt, Standortdienste zu deaktivieren, um ihre Privatsphäre zu schützen. Dieser proaktive Ansatz kann verhindern, dass Apps Bewegungen verfolgen und persönliche Daten mit externen Entitäten teilen, was ein sichereres Online-Dating-Erlebnis gewährleistet.