Die Dating-App Tinder wird mitunter missbräuchlich für Spionage-Zwecke verwendetpexels

Das Feature erreichte größere Bekanntheit, nachdem Tinder die Premium-Funktion vorübergehend kostenlos angeboten hatte, um während des Lockdowns seine Mitglieder weltweit zu vernetzen. Die Idee dahinter: Während in der standort-basierten Gratis-Version Nutzern nur Profile aus ihrer Umgebung angezeigt werden, können mit der „Reisepass“-Funktionen die digitalen räumlichen Grenzen gesprengt werden. „Lernt Leute in ihren Heimatorten, Studienorten oder in Partnerstädten kennen, und trefft Menschen aus aller Welt, die gerade dasselbe durchmachen“, warb Tinder während des Lockdowns, „Und wenn das einzige ist, dass du danach ,Hallo‘ in einer anderen Sprache sagen kannst. Probier es aus.“

Was zunächst unverfänglich nach Berlin, Barcelona oder Budapest klingt, verliert angesichts einer speziellen Einstellung seine Unschuld: Statt nur nach Ländern, Städten oder Vierteln zu suchen, können Nutzer auch gezielt bestimmte Einrichtungen in der App als Standort anfordern, darunter auch besonders sensible, wie (Militär-) Krankenhäuser, Ministerien, Film-Studios, Sicherheitsbehörden oder Militärstützpunkte.

Sensible Ziele

Dafür ist es nicht mal notwendig, die Adresse der Einrichtung zu kennen – der Kartendienst, den die App nutzt, arbeitet dabei auch mit Stichworten wie „Verfassungsschutz“, „security“ oder „Justizvollzugsanstalt“ und liefert direkt eine Auswahl an möglichen Zielen. Begibt sich der Nutzer jetzt per Klick an einen dieser Standorte und stellt den Radius auf maximal zwei Kilometer ein, werden ihm nur noch Profile anderer Nutzer angezeigt, die sich dort aufhalten oder kürzlich dort aufgehalten haben.

Swipe durch die Sicherheitskontrolle

Ein Selbst-Test über mehrere Tage zeigt die ganze Dimension schnell auf: Gibt man etwa als Standort den deutschen Bundestag an, tauchen neben den weniger spannenden Profilen von Angestellten politischer Parteien auch Profile von Mitarbeitern von Banken oder Beratungsfirmen auf, die sich entweder im Gebäude selbst oder in seiner Nähe aufgehalten haben, während sich ihr Standort im Hintergrund aktualisiert hat. Ähnlich bei Sicherheitsbehörden, wie dem Verfassungsschutz oder Polizeidienststellen: Auch hier werden Nutzer angezeigt, die nachweislich in den Einrichtungen arbeiten, wie der Test zeigt – sei es als Polizisten, Sachbearbeiter oder Netzwerkadministratoren. Weil aber jetzt in der Corona-Zeit viele öffentliche Einrichtungen für externe Besuchergruppen gesperrt sind, wie etwa die EZB in Frankfurt, ist die Wahrscheinlichkeit höher, dass tatsächlich nur Profile angezeigt werden, die sich beruflich dort aufhalten.

Besonders brisant ist die Funktion auch bei geschützten Einrichtungen, die etwas entlegener errichtet worden sind, wie militärische Stützpunkte oder Gefängnisse – hier liegt die Trefferquote bei fast 100 Prozent, weil zufällige Überschneidungen eher ausgeschlossen sind.

Sicherheitsbehörden sind alarmiert

Neben dem sensiblen Informationsgewinn über Personen, die sich an dem Standort aufhalten oder dort zuletzt aufgehalten haben, ermöglicht die App in weiterer Folge die Kontaktaufnahme. So kann etwa ein attraktiver Lockvogel einen Mitarbeiter „matchen“. Das Perfide: Die Attacke wirkt harmlos, weil das Ziel annimmt, der Lockvogel befinde sich in seiner Nähe und sei ihm daher zufällig angezeigt worden. Wenn das Opfer zusätzlich seinen Arbeitgeber gar nicht im Profil angibt, wiegt es sich in zusätzlicher, trügerischer Sicherheit. In privaten Textnachrichten oder bei persönlichem Treffen kann der Lockvogel dabei versuchen, seinem Opfer sensible Informationen zu entlocken, Stichwort „honey trapping“.

Nicht nur Firmen sind daher wegen möglicher Wirtschaftsspionage alarmiert, auch staatliche Einrichtungen. „Das Problem ist bekannt“, heißt es dazu in einem Hintergrundgespräch mit einer deutschen Sicherheitsehörde. Zwar werden Mitarbeiter hinsichtlich solche Gefahren geschult und sensibilisiert, aber die Schwachstellen blieben vor allem Angestellte untergeordneter Abteilungen, wie etwa Poststellen, die in der Regel weniger argwöhnisch sind.

Es ist nicht das erste Mal, dass die Dating-App in Sachen „social engineering“ – so der Fachausdruck für das Spionieren mittels sozialer Medien – Sicherheitsexperten vor Herausforderungen stellt. Im Sommer 2018 etwa sorgte ein Fall bei der Royal Air Force für Schlagzeilen. Damals haben sich Kriminelle in das Profil einer Mitarbeiterin gehackt, um an Informationen über die F-35-Kampfjets zu kommen. Zu diesem Zweck haben sie Kollegen der Frau über die App angeschrieben. Allerdings wenig erfolgreich, weil der Hack noch rechtzeitig bemerkt worden sei, wie es in Berichten zu dem Fall heißt.

Man-in-the-middle Attack

Eine weitere Spionage-Masche via Tinder ist in Expertenkreisen als Man-in-the-middle Attack bekannt geworden. Dabei werden die Profile von zwei real existierenden Personen 1:1 kopiert, die dann miteinander in Kontakt treten und dabei aber jeweils mit dem Fake- statt mit dem echten Profil Nachrichten austauschen. Auf diese Weise besteht der Fake einen möglichen „Hintergrund-Check“, weil er mit einer echten Identität auftritt.

Tinder hat seinerseits auf solche  Berichte reagiert und versichert, dass es man trotz Millionen Nutzer weltweit mit Hilfe manueller und automatischer Mechanismen versucht, doppelte oder Fake-Profile zu entdecken und zu entfernen. (doa)