[…]
Keine der analysierten APIs erfüllt die von den Forschern aufgestellten Schutzkriterien. So sind per Badoo-API beispielsweise das Geschlecht der Nutzenden oder deren Beziehungsstatus einzusehen – obwohl Anwender diese Angaben in der App selbst ausblenden lassen. OKCupid gibt die sexuelle Orientierung preis, was in repressiven Ländern wie Ägypten, Russland oder Saudi-Arabien schwerwiegende Folgen für Menschen haben kann.
[…]
Als besonders schwerwiegend sehen die Forscher die Preisgabe der mittels GPS-Modul im Smartphone ermittelten exakten Koordinaten von Anwendern. Sechs der Apps, darunter Badoo und Grindr, packen die Koordinaten in den API-Datenstrom. Im Fall von Grindr lassen sich die Nutzer sogar auf rund 100 Meter genau lokalisieren.
Sechs andere Apps geben innerhalb der Anwendung die Distanz zwischen Angreifer und Opfer an. Erstellt ein Angreifer mindestens zwei Konten und manipuliert er deren Aufenthaltsort, lässt sich so nach und nach per Triangulation der genaue Aufenthaltsort des Opfers feststellen. Den Forschern zufolge haben inzwischen sämtliche von ihnen angesprochenen App-Anbieter zumindest das Abfließen der genauen Position unterbunden, indem sie die per API abrufbaren Koordinaten nur gerundet ausgeben.
Die Forscher kritisieren zudem, dass die App-Anbieter ihre Nutzer nicht zur Datensparsamkeit erziehen – sondern im Gegenteil noch dazu auffordern, möglichst viele intime Details von sich preiszugeben, um so die Trefferchancen zu erhöhen.
[…]
- @[email protected]Deutsch30•3 months ago