Sexdating-App 3fun überträgt Nutzer-Standort und Fotos im Klartext

Wer Dating-Apps nutzt, verlässt sich auf die Diskretion des Anbieters und das dieser Daten und Inhalte nach gängigen Standards schützt. Das gilt umso mehr, wen es sich um Dienste handelt, die sich primär um sexuelle Kontakte drehen, wie etwa 3fun – die sich speziell an Interessenten von Gruppensex richten.

In der Vergangenheit hat sich aber immer wieder gezeigt, dass gerade Dating-Apps mit Standort-Matching, wie etwa Tinder, häufig ungewollt den Ort des Nutzer preisgeben. Die Dating-App Grindr für homosexuelle Männer hat dieses Problem etwa seit Jahren

Bei Trilateration wird die Position eines Users durch drei Umgebungs-Standorte metergenau ermittelt. Und diese Standorte lassen sich meist durch einfache API-Abfragen des App-Servers emitteln. Es gibt sogar schon Webseiten, die diesen Vorgang automatisieren.

Sexdating-App 3fun überträgt alle Daten im Klartext

Im Fall der Dating-App 3fun, die für iPhone und Android erhältlich ist, ist so ein Aufwand allerdings gar nicht nötig. Denn die App schickt die Koordinaten eines jeden Nutzers im Klartext mit. Das ermittelten die Sicherheits-Experten von Pen Test Partners

Insgesamt werden folgende Daten übertragen:

  • User-Location (fast) in Echtzeit
  • Geburtsdatum
  • Sexuelle Präferenzen
  • Chat-Daten
  • User-Fotos – auch wenn sie auf „privat“ gesetzt sind

Damit werden jegliche Sicherheitsmaßnahmen ad absurdum geführt. Und das bei einer App, die laut eigenen Angaben 1,5 Millionen Nutzer in Top-Cities wie New York, Los Angeles und London hat.

3fun-User im Weißen Haus

Höhen- und Breitengrad werden etwa bei einem GET-Request im Klartest übertragen. Damit lässt sich über Google Maps der Standort jeden Nutzers ermitteln. Der User kann den Standort zwar auf „privat“ setzen, aber das passiert nur in der App auf dem Smartphone. Beim GET-Request vom Server werden die Daten auch in diesem Fall noch übertragen.

Pen Test Partners konnten die Standorte für zig Nutzer bestimmen, die sich etwa im Weißen Haus in Washington D.C. oder in 10 Downing Street in London befinden, dem Amtssitz des britischen Premierministers. Auch andere Daten wie Geburtsdatum und Chat-Daten lassen sich im Klartext auslesen.

Fotos lassen sich per Web-Link aufrufen

Außerdem stellten die Experten fest, dass sich auch User-Fotos über Klartext-Links im Web aufrufen lassen. Dazu genügen Links nach dem Muster „https://s3.amazonaws.com/3fun/019/user-1436xxx/5858xxx-big.jpg„. Auch hier werden wiederum Fotos angezeigt, die auf „privat“ gesetzt sind, weil auch hier die Filterung erst Smartphone passiert.

Pen Test Partners haben 3fun mit den Lücken konfrontiert. Die Entwickler haben diese dann auch relativ zügig geschlossen. Allerdings waren all diese Daten für einen langen Zeitraum völlig ungeschützt einsehbar.

Es lässt sich auch nicht ausschließen, dass noch weitere Lücken bestehen. Vielleicht sollte man 3fun lieber völlig meiden – das empfehlen auch zahlreiche Kritiker in den App-Stores, die den Entwicklern ähnliche Machenschaften wie einst Ashley Madison vorwerfen.