Größte deutsche Dating-App übertrug unverschlüsselt sensible Daten

"Vom ersten Bauchkribbeln bis zum ersten Treffen – alles beginnt mit einer einzigen Nachricht." Man müsste hinzufügen: mit einer unverschlüsselten Nachricht. Denn bei der Flirt-App Lovoo, die mit dieser Küchenphilosophie um neue Nutzer balzt, scheint der ungeschützte Nachrichtenverkehr der Standard zu sein. Dies geht zumindest aus einem Testbericht des Infoportals mobilsicher.de hervor, der neben unverschlüsselter Kommunikation auch weitere Datenschutzprobleme der beliebten App benennt.

Vor allem die Tatsache, dass Ende-zu-Ende-Verschlüsselung den Nutzern nicht als Option im Chat-Kanal von Lovoo zur Verfügung steht, während dies bei Messengern wie Whatsapp mittlerweile Standard sei, stößt dem Smartphone-Tester und IT-Experten, Mike Kuketz, auf. Das Fazit des Berichts über Lovoo: "unverantwortlich".

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Das Dresdner Unternehmen, das im September für 60 Millionen Euro an die amerikanische Meet Group verkauft wurde, bestätigt auf Motherboard-Anfrage die Ergebnisse des Tests. Die erwähnten Schwachstellen seien jedoch mittlerweile behoben.

Für den Sicherheitsexperten Kuketz ist der umstrittenste Punkt: Die Flirt-App verrate ihren Werbepartnern auch sensible Daten wie Alter, Standort und die sexuelle Orientierung der Nutzer – ohne dass diese davon in Kenntnis gesetzt werden. Ob also ein Nutzer schwul, hetero- oder bisexuell ist, wie alt er ist und wann er sich wo befand, lande entsprechend nicht nur auf den Lovoo-Servern, sondern auch bei Drittanbietern. Zudem übertrage Lovoo die Daten unverschlüsselt an ihre Werbepartnern, "so dass Dritte, die sich zum Beispiel im selben Netzwerk befinden, diese Informationen abgreifen könnten", so der Bericht. Der IT-Fachmann hält die App daher für "datenhungrig und sicherheitsbedenklich".

Das Werbenetzwerk, das hinter Lovoo steht und dem die Daten zugespielt werden, heißt MoPub. Es gehört seit 2013 zu Twitter. MoPub blendet Usern während der Nutzung Werbeanzeigen ein, die das Netzwerk wiederum von anderen ausgewählten Werbepartnern erhält.

Auch sollen sensible App-Daten wie die E-Mail-Adresse des Nutzers, GPS-Daten sowie die Inhalte seiner Chat-Nachrichten unverschlüsselt auf dem Smartphone abgespeichert werden. Mögliches Risiko der unverschlüsselten Speicherung: Dritte, die sich unerwünscht Zugang zu dem Gerät verschaffen, könnten so private Informationen leicht abgreifen, kritisiert der Bericht.

Lovoos Marketing-Vize Eric Jangor bestätigte gegenüber Motherboard die Ergebnisse des Testberichts. Die Weitergabe der sexuellen Orientierung an das Werbenetzwerk MoPub sei zwar bislang erfolgt, jedoch nicht aus kommerziellen Gründen. Vielmehr habe die von Lovoo verwendete Software zur technischen Verarbeitung der Anzeigen diese Nutzerinformation "standardmäßig" an den Werbepartner durchgeleitet, so Jangor. Soll heißen: ohne sich darüber im Klaren zu sein. Als das Unternehmen durch den ursprünglichen Blogpost vom 7. November darauf aufmerksam wurde, habe man unverzüglich gehandelt. Seit einer Woche sei die Option nun deaktiviert.

Auch die unverschlüsselte Weitergabe der Daten an MoPub gehöre der Vergangenheit an, sagt Jangor. Mittlerweile würden Nutzerdaten nur noch verschlüsselt an die Werbepartner geschickt.

Die Kritik, Lovoo würde Chat-Nachrichten aufgrund laxer Sicherheitsvorkehrungen nicht verschlüsseln, möchte Jangor jedoch nicht gelten lassen. Da App-Nutzer die Nachrichten, die sie auf ihrem Handy erhalten, auch auf dem Desktop lesen sollen können, verzichte Lovoo auf die Ende-zu-Ende-Verschlüsselung.

Das Werbenetzwerk MoPub sagt auf Motherboard-Anfrage, es habe keine Daten über die sexuelle Orientierung von Lovoo-Nutzern erhalten. Zudem verbiete MoPubs Datenschutzbestimmung die Verwendung solcher sensibler Daten, so die Sprecherin Laura Pacas.

Die Flirt-App war bereits im Jahr 2015 wegen Fake-Profilen in die Negativschlagzeilen gekommen. Laut interner Dokumente, die dem Computermagazin c’t zugespielt worden waren, hätten Lovoo-Mitarbeiter mit gefälschten Profilen von Frauen männliche Nutzer dazu gebracht, kostenpflichtige Angebote der App zu kaufen. Die Mitarbeiter sollen auf Anweisung der Lovoo-Geschäftsführung gehandelt haben. Das Ermittlungsverfahren wurde letztes Jahr gegen Geldauflagen von 1,2 Millionen Euro eingestellt.