Ist die Clubhouse App sicher?

Momentan ist Clubhouse in aller Munde – aber die neuartige Chat-App scheint einige grundlegende Sicherheitsregeln für ihre User nicht einzuhalten. Und auch mit dem Schutz der Privatsphäre sieht es nicht mega-rosig aus. Kannst du deine Daten Clubhouse wirklich anvertrauen? Schauen wir uns das mal genauer an!

Was ist Clubhouse?

Clubhouse ist ein Audio-Chat-Room, an dem man aber nur mit Einladung teilnehmen kann. Die User können Live-Audio-Streams in verschiedenen virtuellen Chat-Rooms anhören und sogar an Diskussionen teilnehmen, wenn der Moderator es erlaubt. Derzeit gibt es allerdings nur eine iOS-App, Android soll aber folgen. Clubhouse ist gerade mal etwas über ein Jahr alt und hat schon 2 Millionen User, darunter einige bekannte Persönlichkeiten wie Bill Gates oder Elon Musk. Klar, dass das für Furore sorgt – allerdings nicht bei Datenschutz- und Sicherheitsexperten. Von chinesischen Servern bis hin zum Teilen der Kontakte haben wir hier die Schwächen von Clubhouse zusammengefasst.

Datenweitergabe durch User

Ein Monat nach Erscheinen der App wurde ein User dabei entdeckt, wie er Audio-Feeds und Metadaten von verschiedensten Räumen auf einer anderen Webseite gestreamt hat. Clubhouse hat diesen „Datenverlust“ in einem Interview mit Bloomberg zugegeben, der User habe die Nutzungsbedingungen missachtet, sei ausgeschlossen worden und außerdem seien neue Schutzvorkehrungen getroffen worden, um derartige Vorfälle zukünftig zu verhindern. Wie gut diese neuen Vorkehrungen sind, lässt sich noch schwer sagen.

Hat Clubhouse Zugang zu deinen Kontakten?

Clubhouse funktioniert auf Basis eines Einladungssystems. Wenn du mal Teil der Community bist, kannst du auch andere User einladen. Aber es gibt einen Haken: Um andere einzuladen, musst du Clubhouse Zugriff auf all deine Kontakte gewähren! Aber nicht jeder in deinem Adressbuch ist tatsächlich dein Freund – Businesspartner, dein Friseur, dein Ex-Chef … Wenn du einer App Zugang zu deinen Kontakten erlaubst, verrätst du nicht nur deine Verbindung zu diesen Kontakten, sondern auch die Verbindung deiner Kontakte zu DIR. Natürlich gehen mit dem Zugang zu deinen Kontakten generell einige negative Aspekte für die Privatsphäre einher:

Kontakte, die du lieber nicht wiedersehen wolltest …

Sobald jemand aus deinen Kontakten Clubhouse beitritt, erhältst du eine „Walk them in“-Benachrichtigung. Wenn du diese ohne groß nachzudenken anklickst, landen du und dieser Kontakt sofort in einem privaten Raum – gemeinsam mit anderen Usern aus dessen Kontakten. Schön, wenn du so ein paar alte Schulfreunde wieder triffst. Nicht so nett, wenn es sich dabei um deinen Ex und seine neue Freundin handelt …

Blinde Zustimmung

Wenn du andere einladen möchtest, liefert dir Clubhouse eine Liste deiner Kontakte, die der App noch nicht folgen. Aber es gibt einen nicht-einwilligenden Teil: Clubhouse reiht jeden Kontakt danach, wie viele Leute er bereits auf Clubhouse kennt. Das unterminiert aber jene Menschen, die nichts mit Clubhouse zu tun haben wollen. Es ist auch nicht in Ordnung, wenn deine Clubhouse-Kontakte jemandem gezeigt werden, den du blockiert hast oder von dem du wegkommen möchtest.

Spionage durch die Regierung

Wenn du die Wörter „Klartext“ und „Daten“ in einem Satz hörst, hat das meist nichts Gutes zu bedeuten. Kombinierst du dazu noch bestimmte Regierungen, die Bürger für ihre Meinungsäußerung strafrechtlich verfolgen, hast du alle Zutaten für eine Katastrophe beieinander. Die Audio-Nachrichten von Clubhouse hinterlassen zwar keine öffentlichen Aufzeichnungen, aber die SIO (Stanford Internet Observatory) hat herausgefunden, dass die eindeutig zuordenbaren Clubhouse ID-Nummern und Chatroom-IDs unverschlüsselt in Klartext an Server übermittelt werden, die von einer chinesischen Firma (Agora) betrieben werden. Was hat das zu bedeuten?

Die chinesische Regierung könnte auf Clubhouse-Daten zugreifen.

Agora stellt den „Real-Time Voice Engagement“-Teil von Clubhouse zur Verfügung. Dieses überträgt Nutzerdaten über chinesische Server in den Rest der Welt. Agora gibt an, dazu verpflichtet zu sein, die Gesetze der Volksrepublik China einzuhalten – auch durch die Weitergabe von Nutzerdaten … Da Agora aber behauptet, keine Benutzer-Audio- oder Metadaten zu speichern (außer zur Überwachung der Netzwerkqualität), fühlen sich die User sicher. Zu Recht? Nicht ganz! SIO hat beobachtet, dass unverschlüsselte Raum-Metadaten an Server weitergeleitet werden, die von China gehostet und verwaltet werden – das heißt, die chinesische Regierung kann diese Informationen sammeln, ohne überhaupt auf die Netzwerke von Agora zugreifen zu müssen …

Clubhouse könnte deine Privatsphäre verletzen und unnötiges Datensammeln unterstützen

Forscher haben eine Schwachstelle in der Backend-Infrastruktur von Clubhouse entdeckt, die es Hackern ermöglichen könnte, Audio-Chats aus der Agora-API zu extrahieren, ohne die Clubhouse-App verwenden zu müssen. Agora mischt die Audiodaten von Sprechern nicht in einer Spur, sondern es wird jedem Sprecher eine Audiospur zugewiesen, die Metadaten wie seine eindeutige Benutzer-ID enthält. Es ist auch sehr wahrscheinlich, dass Clubhouse-IDs mit Benutzerprofilen verbunden werden können, was bedeutet, dass deine Daten gesammelt werden könnten, einschließlich deiner Telefonnummer, der Themen, die dich interessieren, und mit wem du sprichst.

Sind deine Daten bei Clubhouse sicher?

Ob deine Audio-Daten bei Clubhouse sicher sind hängt davon ab, wo sie gespeichert werden, wie lange und ob deine Stimme jemals geklont wird.

Wie lange werden Clubhouse Audiodaten gespeichert?

Clubhouse speichert die Audiodaten von Usern „vorübergehend“ für Vertrauens- und Sicherheitsprüfungen (z. B. terroristische Drohungen, Hassreden, Bedrohungen von Kindern etc.) Aber wie lange „vorübergehend“ eigentlich ist, wird leider nicht verraten. Laut einer Recherche von NordVPN werden die Audiodaten jedoch angeblich gelöscht, wenn keine Sicherheitsbedenken vorliegen

Wo werden Clubhouse Daten gespeichert?

Um die Diskussion noch weiter anzuheizen, wird in den Datenschutzrichtlinien von Clubhouse weder Agora noch ein anderer in China ansässiger Daten-Subprozessor erwähnt. Wir wissen also tatsächlich nicht, wo die Audiodaten gespeichert werden. Wenn Audiodaten in den USA gespeichert werden, würde ein Bundesgesetz die Offenlegung von Informationen, die von der chinesischen Regierung angefordert werden, verbieten. Wenn Agora Zugriff auf den rohen Audioverkehr von Clubhouse hat (was nach den SIO-Untersuchungen als wahrscheinlich gilt), könnte dieser abgefangen und transkribiert werden, wenn die Daten nicht Ende-zu-Ende-verschlüsselt sind.

Kann deine Stimme von Clubhouse geklont werden?

Adobes Audiomanipulator Voco kann die Stimme von einfach jedem binnen wenigen Sekunden klonen, indem er Audiowellen untersucht. Und das wirklich beängstigend realistisch – man kann einen Audio-Fake kaum von der Stimme der echten Person unterscheiden. Eine lustige Sache für einen dummen Scherz unter Freunden – nicht so lustig, wenn du Präsident eines Landes bist …

Clubhouse bringt frischen Wind in die sozialen Medien – aber es muss am Datenschutz arbeiten!

Prinzipiell ist Clubhouse keine schlechte Sache und bringt Abwechslung in die sozialen Medien. Audio bzw. Sprache anstatt von Text und Bildern – hat was. Auf Clubhouse kannst du dich live über neue medizinische Erkenntnisse mit einem Forscher unterhalten oder einfach nur einer spannenden Diskussion zuhören. Es gibt weder Videos, noch Bilder (außer Profilfotos). Clubhouse betreibt auch ein Bug-Bounty-Programm mit HackerOne, um Sicherheitslücken auszumerzen. Aber was Clubhouse fehlt sind strengere Datenschutzkontrollen. Nachdem sich die App noch in der Beta-Phase befindet ist genau jetzt der richtige Zeitpunkt, derartige Sicherheitsmaßnahmen einzufordern!


Erstellt am: 2. April 2021

Schreibe einen Kommentar

Weitere Artikel

CleanWeb von Surfshark: Die All-in-One Sicherheitsfunktion im VPN-Bereich

CleanWeb von Surfshark: Die All-in-One Sicherheitsfunktion im VPN-Bereich

In einer Welt, in der Cyberbedrohungen, invasive Werbung und Tracker allgegenwärtig sind, ist der Schutz der Privatsphäre im Internet wichtiger denn je. Surfshark, ein führender Anbieter von VPN-Diensten, bietet mit seiner Funktion CleanWeb eine leistungsstarke Lösung, die weit über die klassischen VPN-Funktionen hinausgeht. Aber was genau ist CleanWeb, und warum sollten Sie es in Betracht ziehen, wenn Sie sich für einen VPN-Anbieter entscheiden? In diesem Artikel erklären wir, wie CleanWeb funktioniert, welche Vorteile es bietet und wie es sich im ...
Weiterlesen …
/ / Allgemein
Black Friday 2024: Die besten VPN-Angebote und warum es sich lohnt

Black Friday 2024: Die besten VPN-Angebote und warum es sich lohnt

Der Black Friday ist nicht nur ein Shopping-Event – er ist ein weltweites Phänomen. Für viele steht er synonym mit spektakulären Rabatten und gigantischen Menschenmengen, die in Kaufhäuser strömen. Doch wie hat alles begonnen? In diesem Artikel werfen wir einen Blick auf Black Friday, warum dieser Tag so besonders ist, und wie du 2024 die besten VPN-Angebote ergatterst. Die Ursprünge des Black Friday: Mehr als nur ein Verkaufstag Black Friday 2024. Die besten VPN-Angebote Die Geschichte des Black Friday reicht ...
Weiterlesen …
/ / Allgemein
Surfshark Search: Sicher und anonym durchs Internet

Surfshark Search: Sicher und anonym durchs Internet

In der heutigen digitalen Welt wächst das Bewusstsein für Online-Privatsphäre und Sicherheit stetig. Viele Menschen suchen nach Tools, die ihnen dabei helfen, ihre persönlichen Daten vor neugierigen Blicken zu schützen. Ein solches Tool ist Surfshark Search, eine Funktion innerhalb des beliebten VPN-Anbieters Surfshark. Dieser Artikel beleuchtet, was Surfshark Search ist, welche Vorteile es bietet und wie es im Vergleich zu anderen VPN-Suchfunktionen abschneidet. Was ist Surfshark Search? Surfshark Search ist eine private Suchmaschine, die es Nutzern ermöglicht, anonym im Internet ...
Weiterlesen …
Surfshark Alternative ID: Eine umfassende Übersicht

Surfshark Alternative ID: Eine umfassende Übersicht

In der sich ständig weiterentwickelnden Welt der VPN-Dienste ist es nicht ungewöhnlich, dass Nutzer nach Alternativen zu etablierten Anbietern wie Surfshark suchen. Surfshark bietet zahlreiche Funktionen und eine starke Leistung, aber vielleicht suchen Sie nach einer Lösung, die Ihren spezifischen Anforderungen besser entspricht oder zusätzliche Vorteile bietet. Eine dieser Alternativen ist der Surfshark Alternative ID, ein neuerer und innovativer Dienst, der darauf abzielt, einige der Einschränkungen traditioneller VPNs zu überwinden. In diesem Artikel werfen wir einen detaillierten Blick auf die ...
Weiterlesen …
Wird geladen...