Ist die Clubhouse App sicher?

Momentan ist Clubhouse in aller Munde – aber die neuartige Chat-App scheint einige grundlegende Sicherheitsregeln für ihre User nicht einzuhalten. Und auch mit dem Schutz der Privatsphäre sieht es nicht mega-rosig aus. Kannst du deine Daten Clubhouse wirklich anvertrauen? Schauen wir uns das mal genauer an!

Was ist Clubhouse?

Clubhouse ist ein Audio-Chat-Room, an dem man aber nur mit Einladung teilnehmen kann. Die User können Live-Audio-Streams in verschiedenen virtuellen Chat-Rooms anhören und sogar an Diskussionen teilnehmen, wenn der Moderator es erlaubt. Derzeit gibt es allerdings nur eine iOS-App, Android soll aber folgen. Clubhouse ist gerade mal etwas über ein Jahr alt und hat schon 2 Millionen User, darunter einige bekannte Persönlichkeiten wie Bill Gates oder Elon Musk. Klar, dass das für Furore sorgt – allerdings nicht bei Datenschutz- und Sicherheitsexperten. Von chinesischen Servern bis hin zum Teilen der Kontakte haben wir hier die Schwächen von Clubhouse zusammengefasst.

Datenweitergabe durch User

Ein Monat nach Erscheinen der App wurde ein User dabei entdeckt, wie er Audio-Feeds und Metadaten von verschiedensten Räumen auf einer anderen Webseite gestreamt hat. Clubhouse hat diesen „Datenverlust“ in einem Interview mit Bloomberg zugegeben, der User habe die Nutzungsbedingungen missachtet, sei ausgeschlossen worden und außerdem seien neue Schutzvorkehrungen getroffen worden, um derartige Vorfälle zukünftig zu verhindern. Wie gut diese neuen Vorkehrungen sind, lässt sich noch schwer sagen.

Hat Clubhouse Zugang zu deinen Kontakten?

Clubhouse funktioniert auf Basis eines Einladungssystems. Wenn du mal Teil der Community bist, kannst du auch andere User einladen. Aber es gibt einen Haken: Um andere einzuladen, musst du Clubhouse Zugriff auf all deine Kontakte gewähren! Aber nicht jeder in deinem Adressbuch ist tatsächlich dein Freund – Businesspartner, dein Friseur, dein Ex-Chef … Wenn du einer App Zugang zu deinen Kontakten erlaubst, verrätst du nicht nur deine Verbindung zu diesen Kontakten, sondern auch die Verbindung deiner Kontakte zu DIR. Natürlich gehen mit dem Zugang zu deinen Kontakten generell einige negative Aspekte für die Privatsphäre einher:

Kontakte, die du lieber nicht wiedersehen wolltest …

Sobald jemand aus deinen Kontakten Clubhouse beitritt, erhältst du eine „Walk them in“-Benachrichtigung. Wenn du diese ohne groß nachzudenken anklickst, landen du und dieser Kontakt sofort in einem privaten Raum – gemeinsam mit anderen Usern aus dessen Kontakten. Schön, wenn du so ein paar alte Schulfreunde wieder triffst. Nicht so nett, wenn es sich dabei um deinen Ex und seine neue Freundin handelt …

Blinde Zustimmung

Wenn du andere einladen möchtest, liefert dir Clubhouse eine Liste deiner Kontakte, die der App noch nicht folgen. Aber es gibt einen nicht-einwilligenden Teil: Clubhouse reiht jeden Kontakt danach, wie viele Leute er bereits auf Clubhouse kennt. Das unterminiert aber jene Menschen, die nichts mit Clubhouse zu tun haben wollen. Es ist auch nicht in Ordnung, wenn deine Clubhouse-Kontakte jemandem gezeigt werden, den du blockiert hast oder von dem du wegkommen möchtest.

Spionage durch die Regierung

Wenn du die Wörter „Klartext“ und „Daten“ in einem Satz hörst, hat das meist nichts Gutes zu bedeuten. Kombinierst du dazu noch bestimmte Regierungen, die Bürger für ihre Meinungsäußerung strafrechtlich verfolgen, hast du alle Zutaten für eine Katastrophe beieinander. Die Audio-Nachrichten von Clubhouse hinterlassen zwar keine öffentlichen Aufzeichnungen, aber die SIO (Stanford Internet Observatory) hat herausgefunden, dass die eindeutig zuordenbaren Clubhouse ID-Nummern und Chatroom-IDs unverschlüsselt in Klartext an Server übermittelt werden, die von einer chinesischen Firma (Agora) betrieben werden. Was hat das zu bedeuten?

Die chinesische Regierung könnte auf Clubhouse-Daten zugreifen.

Agora stellt den „Real-Time Voice Engagement“-Teil von Clubhouse zur Verfügung. Dieses überträgt Nutzerdaten über chinesische Server in den Rest der Welt. Agora gibt an, dazu verpflichtet zu sein, die Gesetze der Volksrepublik China einzuhalten – auch durch die Weitergabe von Nutzerdaten … Da Agora aber behauptet, keine Benutzer-Audio- oder Metadaten zu speichern (außer zur Überwachung der Netzwerkqualität), fühlen sich die User sicher. Zu Recht? Nicht ganz! SIO hat beobachtet, dass unverschlüsselte Raum-Metadaten an Server weitergeleitet werden, die von China gehostet und verwaltet werden – das heißt, die chinesische Regierung kann diese Informationen sammeln, ohne überhaupt auf die Netzwerke von Agora zugreifen zu müssen …

Clubhouse könnte deine Privatsphäre verletzen und unnötiges Datensammeln unterstützen

Forscher haben eine Schwachstelle in der Backend-Infrastruktur von Clubhouse entdeckt, die es Hackern ermöglichen könnte, Audio-Chats aus der Agora-API zu extrahieren, ohne die Clubhouse-App verwenden zu müssen. Agora mischt die Audiodaten von Sprechern nicht in einer Spur, sondern es wird jedem Sprecher eine Audiospur zugewiesen, die Metadaten wie seine eindeutige Benutzer-ID enthält. Es ist auch sehr wahrscheinlich, dass Clubhouse-IDs mit Benutzerprofilen verbunden werden können, was bedeutet, dass deine Daten gesammelt werden könnten, einschließlich deiner Telefonnummer, der Themen, die dich interessieren, und mit wem du sprichst.

Sind deine Daten bei Clubhouse sicher?

Ob deine Audio-Daten bei Clubhouse sicher sind hängt davon ab, wo sie gespeichert werden, wie lange und ob deine Stimme jemals geklont wird.

Wie lange werden Clubhouse Audiodaten gespeichert?

Clubhouse speichert die Audiodaten von Usern „vorübergehend“ für Vertrauens- und Sicherheitsprüfungen (z. B. terroristische Drohungen, Hassreden, Bedrohungen von Kindern etc.) Aber wie lange „vorübergehend“ eigentlich ist, wird leider nicht verraten. Laut einer Recherche von NordVPN werden die Audiodaten jedoch angeblich gelöscht, wenn keine Sicherheitsbedenken vorliegen

Wo werden Clubhouse Daten gespeichert?

Um die Diskussion noch weiter anzuheizen, wird in den Datenschutzrichtlinien von Clubhouse weder Agora noch ein anderer in China ansässiger Daten-Subprozessor erwähnt. Wir wissen also tatsächlich nicht, wo die Audiodaten gespeichert werden. Wenn Audiodaten in den USA gespeichert werden, würde ein Bundesgesetz die Offenlegung von Informationen, die von der chinesischen Regierung angefordert werden, verbieten. Wenn Agora Zugriff auf den rohen Audioverkehr von Clubhouse hat (was nach den SIO-Untersuchungen als wahrscheinlich gilt), könnte dieser abgefangen und transkribiert werden, wenn die Daten nicht Ende-zu-Ende-verschlüsselt sind.

Kann deine Stimme von Clubhouse geklont werden?

Adobes Audiomanipulator Voco kann die Stimme von einfach jedem binnen wenigen Sekunden klonen, indem er Audiowellen untersucht. Und das wirklich beängstigend realistisch – man kann einen Audio-Fake kaum von der Stimme der echten Person unterscheiden. Eine lustige Sache für einen dummen Scherz unter Freunden – nicht so lustig, wenn du Präsident eines Landes bist …

Clubhouse bringt frischen Wind in die sozialen Medien – aber es muss am Datenschutz arbeiten!

Prinzipiell ist Clubhouse keine schlechte Sache und bringt Abwechslung in die sozialen Medien. Audio bzw. Sprache anstatt von Text und Bildern – hat was. Auf Clubhouse kannst du dich live über neue medizinische Erkenntnisse mit einem Forscher unterhalten oder einfach nur einer spannenden Diskussion zuhören. Es gibt weder Videos, noch Bilder (außer Profilfotos). Clubhouse betreibt auch ein Bug-Bounty-Programm mit HackerOne, um Sicherheitslücken auszumerzen. Aber was Clubhouse fehlt sind strengere Datenschutzkontrollen. Nachdem sich die App noch in der Beta-Phase befindet ist genau jetzt der richtige Zeitpunkt, derartige Sicherheitsmaßnahmen einzufordern!


Erstellt am: 2. April 2021

Schreibe einen Kommentar

Weitere Artikel

/ / Allgemein
Lifehack: So kannst du prüfen, ob eine Google Chrome Erweiterung sicher ist

Lifehack: So kannst du prüfen, ob eine Google Chrome Erweiterung sicher ist

Es gibt viele Google Chrome Erweiterungen, die uns das Leben leichter machen – aber es lauern auch alte, gefährliche Exemplare auf uns. Im heutigen Lifehack zeigen wir dir, worauf du beim Downloaden achten musst. Chrome-Erweiterungen können gefährlich sein! Chrome-Erweiterungen sind keine schlechte Sache. Sie können uns dabei helfen, lästige Anzeigen in Schach zu halten, besser zu schreiben, Geld zu sparen etc. Aber genauso wie bei den Android Apps im Google Play Store gibt es leider zahlreiche Erweiterungen, die nicht das ...
Weiterlesen …
Lifehack: So entsperrst du Webseiten auf der ganzen Welt

Lifehack: So entsperrst du Webseiten auf der ganzen Welt

Du bist im Ausland und kannst eine Newsseite nicht erreichen? Oder dein Administrator im Büro hat gewisse Webseiten gesperrt? Genau in diesen Fällen hilft dir unser heutiger Lifehack: Entsperre Webseiten, egal wo du bist – mit unserem FREEPROXY Server! Inhaltsverzeichnis Freier Zugang zum Internet für alle! Internetzensur? Geht gar nicht! Jeder Mensch auf der ganzen Welt hat ein Recht darauf, im Internet zu surfen, wie er mag. Nun gibt es aber restriktive Länder, die starke Zensur ausüben und viele Webseiten ...
Weiterlesen …
/ / Allgemein
Lifehack: So synchronisierst du deine Bookmarks aus verschiedenen Browsern

Lifehack: So synchronisierst du deine Bookmarks aus verschiedenen Browsern

Du verwendest verschiedene Browser und hast deine Bookmarks somit überall verteilt? Das ist ziemlich mühsam – aber es gibt eine Möglichkeit, alle Lesezeichen zu synchronisieren. Unser heutiger Lifehack zeigt dir, wie! Lesezeichen auf verschiedene Browser verteilt? Lesezeichen sind ziemlich praktisch. Egal ob beim Surfen, Recherchieren oder Shoppen: Eine gute Webseite ist so schnell mal gespeichert. Wenn man aber nun auf verschiedenen Geräten bzw. verschiedenen Browsern unterwegs ist, hat man dort jene Bookmarks, dort die anderen … Genau das, was man ...
Weiterlesen …
NEWS: Umgehend Fehler beheben bei Zyxel-VPN- und Firewall-Geräten

NEWS: Umgehend Fehler beheben bei Zyxel-VPN- und Firewall-Geräten

ITler sollten umgehend die enthaltenen Fehler bei Firewall-Geräte- und Zyxel-VPN beheben, um sich zu schützen und Angriffe abzuschwächen. Die Fehler ermöglichen es dem Angreife, als Benutzer auf dem betroffenen Gerät eine beliebige Codeausführung zu erreichen. Um dieses Problem zu vermeiden, sollten umgehend die vorhandenen Fehler behoben werden – ein Fix ist bereits verfügbar. Inhaltsverzeichnis Angriffe werden gestartet von Cyberkriminellen Von Sicherheitsforschern wird gewarnt, dass kritische Schwachstellen, die als CVE-2022-30525 verfolgt werden und in ATP, VPN sowie einigen Produkten der USG ...
Weiterlesen …
Wird geladen...