Hacker kan meekijken in Tinder-app

Dat meldt het Israëlische beveiligingsbedrijf Checkmarx. Het gebrek aan encryptie voor de foto’s geldt voor zowel de iOS- als de Android-versie van de app.

Andere gegevens in Tinders apps zijn wel HTTPS-versleuteld, maar lekken toch nog aardig wat informatie. Daardoor kan een hacker die op hetzelfde netwerk zit, elke swipe naar rechts of links meekijken. Hij ziet precies hetzelfde op zijn eigen scherm als de getroffen Tinder-gebruiker, benadrukken de Checkmarx-onderzoekers.

De apps versturen foto’s van en naar de smartphone over niet beschermde http. Daardoor kunnen ze vrij eenvoudig onderschept worden.

Bovendien kon de onderzoekers ook informatie halen uit de data die Tinder wel versleutelt. Verschillende handelingen in de app produceerden patronen van bytes zodat ze toch herkenbaar waren, ook in versleutelde vorm. Zo presenteert Tinder een swipe naar links om een mogelijke date te weigeren met 278 bytes. Een swipe naar rechts wordt in 374 bytes weergegeven en een match in 581 bytes. Die informatie kan gecombineerd worden met de foto’s, wat veel informatie over de voorkeuren van de gebruiker kan opleveren.

Checkmarx zegt dat het Tinder in november al op de hoogte heeft gesteld van het lek, maar dat het bedrijf nog niets heeft gedaan om het probleem te verhelpen.

Desgevraagd meldt Tinder aan nieuwssite Wired dat de web-versie van Tinder wel HTTPS-versleuteld is en dat het “er hard aan werkt om beelden op de app ook te versleutelen”, maar dat het verder geen informatie hierover wil geven omdat dat hackers zou kunnen helpen.