Studenten van de Universiteit van Amsterdam hebben beveiligingslekken gevonden in de Grindr-app, een dating-applicatie voor homoseksuele mannen. Het lek zou de persoonlijke gegevens en locatiedata van potentieel alle gebruikers inzichtelijk maken.
Studenten van de opleiding System and Network Engineering vonden de gaten in de beveiliging van Grindr, zo meldt Security.nl op basis van een onderzoeksdocument dat online is geplaatst. Volgens de studenten kunnen door de beveiligingsproblemen potentieel van alle gebruikers de persoonlijke gegevens worden gestolen. Ook is het mogelijk om de locatie van de gebruikers te achterhalen. Grindr kent ongeveer vier miljoen gebruikers. De studenten stellen het lek aan Grindr te hebben bekendgemaakt alvorens tot publicatie over te gaan, maar onduidelijk is of de makers achter de app de beveiliging inmiddels hebben verbeterd.
Het beveiligingslek zou in de sleuteluitwisseling van de door Grindr gebruikte aes-encryptie zitten. Communicatie tussen de gebruiker en de servers van Grindr zou gemakkelijk te ontcijferen zijn. Vervolgens keken de studenten naar de functie van de Grindr-app die de 24 dichtstbijzijnde gebruikers toont. De server stuurt voor deze functie een token mee dat verwijst naar een onafgeschermd gebruikersprofiel. Daardoor kunnen kwaadwillenden alle informatie van de bewuste gebruiker achterhalen, ook als deze door de gebruiker als niet-publiekelijk is gemarkeerd.
Door deze methode lopen potentieel de persoonlijke gegevens van alle gebruikers van Grindr risico. Wanneer zij opduiken in de functie die de 24 dichstbijzijnde gebruikers toont kunnen hun gegevens achterhaald worden. Overigens zou ook het chatverkeer ontcijferd kunnen worden met deze methode, aangezien deze van hetzelfde tokensysteem gebruikmaakt.
Grindr is een datingapplicatie voor homoseksuelen. Een van de belangrijkste functies is om gebruikers te tonen die zich in de buurt bevinden. De app is beschikbaar voor Android, iOS en BlackBerry.
Update 25 oktober: een van de auteurs van het onderzoek zegt op GoT dat Grindr de beveiligingsproblemen inmiddels heeft verholpen.