Clubhouse: Offene Baustellen in Sachen Datenschutz und Datensicherheit
von Felix Frank | 14 Kommentare
Die App „Clubhouse“ erlebt derzeit auch hierzulande einen ordentlichen Hype. Das mag unter anderem am verwendeten „Invite-System“ und einer hohen „Promi“-Dichte liegen. In den Sternen steht, wie das künftig weitergehen wird, nach eigenen Plänen hat man da allerlei vor in Zukunft: Eine Android-App sowie Einnahmemöglichkeiten für Gastgeber soll es da geben. Erste Kritik gab es bereits, da für das Einladen neuer Nutzer ein Vollzugriff auf das Kontaktbuch nötig wird: Schattenprofile sind ein großes Thema. Da tun sich schnell (menschliche) Abgründe auf, wenn einerseits Messaging-Apps wie WhatsApp an den Pranger kommen und andererseits „Clubhouse“ eben übermäßig „gehyped“ wird.
Nicht nur in Sachen Datenschutz hat man seitens Clubhouse Nachholbedarf, auch das Thema Datensicherheit scheint ausbaufähig. Der Hamburger IT-Experte Thomas Jansen zeigte im Rahmen eines Spiegel-Beitrags mögliche Einfallstore für Hacker auf. Der Schutz durch „bewährte Verfahren vor unbefugten Zugriffen und Angriffen“ sei „unzureichend abgesichert“.
Integrierte Software-Bibliotheken machen einen Mitschnitt der Clubhouse-Gespräche mittels gejailbreaktem iPhone möglich. Clubhouse selbst ist in den letzten Tagen ja bereits in Verruf geraten, da man auch selbst Mitschnitte anfertigt, um nachträglich Regelverstöße zu ahnden.
Audio Mitschnitt: @joinClubhouse nutzt PubNub und Agora für die Umsetzung der Audio-Kommunikation in den "Clubs". Die genutzten Libraries erlauben den Mitschnitt aller Kommunikation in hoher Qualität. Voraussetzung ist ein gejailbreaktes iPhone, Frida und dieses Script. 2/6 pic.twitter.com/liRQrJIKE9
— Thomas Jansen (@neathack) January 26, 2021
Auch der Download von Nutzerdaten sei nur wenig limitiert. So konnte Jansen binnen Minuten die Verzeichnisse von knapp 2,8 Millionen Nutzern über die API der App erlangen, bevor eine Drosselung einschritt. In den Datensätzen: Nutzernamen, Namen, Profilbilder sowie Followerzahlen und weitere (öffentliche) Profil-Details. Die Krux: „Diese Daten sind für alle, die einen Clubhouse-Account haben, zwar ohnehin sichtbar, aber nur einzeln pro Nutzerkonto. Jansen könnte zudem auch sehen, wer wen wann zu Clubhouse eingeladen hat.“
Registrierte Telefonnummern: Bei Einladungen wird das Adressbuch an Clubhouse geschickt. In der Antwort sieht man welche Nummer registriert oder schon eingeladen sind. So kann man 100.000 Mobilfunknummern in ~30 Sekunden testen, bzw. 1.000.000 in etwas unter 6 Minuten. 3/6 pic.twitter.com/fzoWKHz4iL
— Thomas Jansen (@neathack) January 26, 2021
Die Clubhouse-Server sind zudem sehr gesprächsbereit, wenn es darum geht, ob sich bestimmte Rufnummern bei Clubhouse registriert haben oder bereits eine Einladung auf eine Rufnummer besteht. Mit erlangter Kenntnis von ausgetesteten Nutzer-Rufnummern lassen sich Mitglieder aussperren.
Durch Kenntnis eines dauerhaft zugeordneten Token lassen sich Accounts übernehmen – auch ohne Zugriff auf das Smartphone des Besitzers. Im Falle eines größeren Datenlecks könnten so schnell massenhaft Account-Übernahmen erfolgen. Zufällige Accounts lassen sich zudem durch Kenntnis einer vierstelligen PIN übernehmen:
Bei der Anmeldung erhalten Nutzerinnen und Nutzer eine vierstellige PIN aus Zahlen, es gibt also 10.000 mögliche Kombinationen. 15 Versuche hat man für die Eingabe des richtigen Codes, bevor ein Konto gesperrt wird. Abgefragt wird die PIN bei der Neuinstallation der App oder auch beim Anmelden von einem neuen Gerät aus.
Access Token: Überraschend ist die schon im Artikel erwähnte Umsetzung des "Access Token". Dieser wird dem Account bei der Registrierung zugewiesen, ist auf jedem Device gleich, und läuft nie aus. Selbst beim expliziten Aus- und wieder Einloggen erhält man den gleichen Token. 5/6
— Thomas Jansen (@neathack) January 26, 2021
In Verbindung mit den zuvor gewonnenen bzw. „durchgetesteten“ Datensätzen zu Mobilfunknummern war es Jansen so nach wenigen Minuten möglich registrierte Rufnummern im unteren vierstelligen Bereich zuzuordnen. Mittels Brute-Force-Attacke könne so durchschnittlich jeder 333. Account übernommen werden, so Jansen weiter.
Derzeit gibt es zudem keine Möglichkeit seinen Account bei Clubhouse eigenständig zu löschen. Hierzu muss eine Mail an den Support erfolgen. Diese Möglichkeit wolle man jedoch nach Spiegel-Aussagen in den kommenden Wochen zusammen mit einem Bug-Bounty-Programm einführen. Weiter heißt es in der Stellungnahme seitens Clubhouse gegenüber dem Spiegel lediglich, man nehme Privatsphäre und Datenschutz ernst und die Themen hätten „höchste Priorität“.
Wird geladen ...
Das sind schon krasse Lücken.
Und die ganzen FOMO Smombies schreien wie die Bekloppten durchs Internet und wollen Invites. Ich bin zu alt für den Scheiß.
Nicht nur du. Aber das Rezept ist ja schon genial. Man nehme eine künstliche Verknappung und platzierte Promis und schon fängt ein Hype an um massig Daten abzugreifen.
Das da Daten „verloren“ gehen, ist nur eine Frage der Zeit.
Irgendwann wird der Hype auch abflachen und diejenigen übrig bleiben die ihren Idolen nahe sein wollen.
🙂
Verstehe die Aufregung nicht, dass man die Gespräche mitschneiden kann. Es ist OFFENE Diskussionen, an der jeder teilnehmen kann. Oder regt man sich auch auf, dass man Radiosendungen einfach so mitschneiden kann?!?!
Ich war wirklich verwundert, wer mir alles in der App als Freund vorgeschlagen wurde. Nachbarn von vor 7 Jahren, welche immer noch meine Nummer gespeichert hatten…
Es ist daher gar nicht verkehrt alle paar Jahre seine Nummer zu ändern. Alle 4 bis 6 Jahre mache ich es in der Regel. Dann kann man wieder ausmisten. Ich möchte einfach nicht, dass Menschen zu denen ich keinen Kontakt pflege weiterhin meine Nummer in Ihrem Adressbuch gespeichert haben.
Ja, klar. Die reinste Qual. Dafür lohnt es sich auf jeden Fall die Nummer zu wechseln.
Du sprichst mir aus der Seele: Da tun sich schnell (menschliche) Abgründe auf, wenn einerseits Messaging-Apps wie WhatsApp an den Pranger kommen und andererseits „Clubhouse“ eben übermäßig „gehyped“ wird.
Ich lehne mich allerdings mal ganz weit aus dem Fenster und behaupte, dass zwischen denjenigen, die WhatApp wegen der Datensicherheit/-sammlerei kritisieren und denjenigen, die Clubhouse hypen, die Schnittmenge nahezu gegen null tendieren dürfte.
OMG, was die Sicherheit angeht scheint es keinerlei Qualitätssicherung zu geben, und dann soll es ein Bug Bounty lange nach dem go live richten. Kann man das an Fahrlässigkeit noch überbieten?
Das könnte auch Methode haben – so bleibt man auf jeden Fall im Gespräch….
Sie haben zumindest von facebook gelernt, dass man sich durch Einladungen erstmal ins Gespräch bringt. Danach kann man skalieren.
Ja, schon erstaunlich, wie auf der einen Seite WA kritisiert wird, aber man jetzt ganz schnell beim nächsten Datenleck Hype dabei sein muss ;-(
Völlig überflüssiger, pseudoelitärer Scheiss, den niemand der bei klarem Verstand ist haben will. Außer Hipstern und Anhängern der Apfelreligion, Makeup-Hairstyle-Shopping-Influencer-Girlies und Lifestyleproleten, die immer dem nächsten Hype hinterherhecheln. Wi-der-lich!