Eine gefährliche Sicherheitslücke in der beliebten schwulen Dating-App „Grindr“ soll nach relativ langer Zeit geschlossen worden sein. Sie ermöglichte es Angreifern, sich als ein fremdes Profil einzuloggen. Eine neue Version der App ist seit dem Wochenende im App Store von Apple erhältlich. Eilig hatten es die Macher von „Grindr“ nicht. Die australische Zeitung „Sydney Morning Herald“ (SMH) hatte sie bereits Mitte Jänner kontaktiert.
Die Hacker nutzten dabei den Anmeldemodus von Grindr: Statt einer Username-/Passwort-Kombination benutzt die App eine eindeutige Zeichenfolge, einen „Hash“ zur Identifizierung. Diese Kombination hat der Hacker abgefangen, so konnte er sich als jener User einloggen, dessen Zeichenfolge er bekommen hatte. Damit konnte er dessen Profil vollständig übernehmen – also dessen Favoriten und Bilder sehen, Nachrichten in seinem Namen verschicken und empfangen sowie die persönliche Informationen ändern.
Über eine mittlerweile geschlossene Website ermöglichte es der Hackern auch seinen Freunden, einzelne „Grindr“-Profile zu hacken. Nach Informationen des SMH änderten die Hacker bei mehreren australischen Usern die Profilfotos, mindestens einer verlor deshalb sogar sein Profil, weil Hardcore-Vorschaubilder bei „Grindr“ nicht erlaubt sind. Auch Usernamen und Passwörter sollen dort aufgelistet worden sein.
Der SMH zitiert einen Experten, für den die Apps „armselig programmiert“ sind. Sie würden „keine echte Sicherheit“ bieten. Dem Experten zufolge wäre es allerdings „nicht zu schwer, das zu sichern“. Das gesteht auch „Grindr“-Gründer Joel Shimkai ein. Er kündigte bereits Mitte Jänner ein kleineres Sicherheits-Update für die „nächsten Tage“ an und kündigte ein größeres Update für die „folgenden Wochen“ an.
Links zum Thema