Sicherheitslücke bei Lovoo: Bewegungsprofile von Nutzern möglich

Shortnews: Schwere Sicherheitslücke beim umstrittenen Dating-Service Lovoo. Über die Web-API des Diensten passen sich problemlos Bewegungsprofile von Nutzern erstellen, auch wenn man gar nicht eingeloggt ist.

Der Knackpunkt ist dabei die Radar-Funktion. Wie Golem schreibt, kann die Web-API URL unbegrenzt abgefragt werden. Das bedeutet, man könne ein Skript bauen, das regelmäßig jegliche Koordinaten über die Web-API abfragt. Darüber passen sich die Entfernungen anderer Nutzer berechnen und so Bewegungsmuster erstellen.

Aus der Kombination mehrerer Ortskoordinaten und der zugehörigen Entfernungen kann per Triangulation die konkrete Position dieser Nutzer auf wenige Meter genau bestimmt werden.

Nutzer können mit diesem Konzept auch gezielt gesucht werden.

Lovoo verweist auf Ungenauigkeit.

Auf Anfrage betont Lovoo, dass es in der Natur der Sache liege, Standortdaten zwischen Benutzern zu teilen. Um die Nutzer dennoch etwas zu schützen, sei eine bewusste Ungenauigkeit eingebaut worden, die 100 Meter unfasst.

Pascal Raszyk, der die Sicherheitslücke entdeckte, argumentiert jedoch, dass diese bei weitem nicht reiche.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Oder willst du mit Gleichgesinnten über die neuesten Produkte diskutieren? Dann besuch unser Forum!