Der Thüringer Ministerpräsident Bodo Ramelow musste bereits die Erfahrung machen, dass die Nutzung der Clubhouse-App nicht ganz ungefährlich sein kann. In einem der Gespräche dort plauderte er nicht nur aus, dass er während der Bund-Länder-Konferenzen gerne einmal „Candy Crush“ spielt. Vielmehr bezeichnete er die Bundeskanzlerin auch als „Merkelchen“ – wofür er sich inzwischen entschuldigt hat. Bei solchen und ähnlichen Aussetzern gilt selbstverständlich: Jeder Nutzer ist selbst dafür verantwortlich, was er so erzählt. Bedenklicher ist hingegen die Tatsache, dass die App es mit Fragen des Datenschutzes und der Datensicherheit nicht so besonders genau nimmt. Schon seit einiger Zeit ist bekannt, dass der Hamburger Datenschutzbeauftragte Johannes Caspar massive Verstöße gegen die europäischen Regelungen zum Schutz der Privatsphäre konstatierte.


Der Experte deckte mindestens 5 Schwachstellen auf

Nun legt der Hamburger IT-Experte Thomas Jansen nach. Er unterzog die neue App einem ausführlichen Test in Sachen Datensicherheit. Dabei stieß er auf verschiedene Schwachstellen.


1. Nutzer können vergleichsweise einfach ganze Clubhouse-Gespräche mitschneiden und speichern. Dafür benötigen sie lediglich ein iPhone mit einem Jailbreak. Dies genügt, um auf die integrierten Software-Bibliotheken zuzugreifen.

2. Über eine API-Schnittstelle kann jeder unbemerkt Nutzerdaten herunterladen. Zwar wird der Zugriff nach einiger Zeit gedrosselt. Doch bis dahin konnte der Sicherheitsexperte bereits einige tausend Datensätze herunterladen. Er schätzt, dass er ein Wochenende benötigen würde, um die Datensätze von allen 2,8 Millionen Nutzern herunterzuladen.

3. Die Server geben zudem Auskunft darüber, ob eine bestimmte Handynummer bereits registriert ist, immerhin schon eingeladen wurde oder der App noch gar nicht bekannt ist.

4. Mithilfe eines Stör-Scripts kann zudem verhindert werden, dass sich ein bestimmter Nutzer einloggt. Dafür muss lediglich die Handynummer bekannt sein.

5. Durch reines Ausprobieren lässt sich statistisch sogar jeder 667. Account einfach übernehmen.

Die Firma hinter der App gelobt Besserung

Auch der Sicherheitsforscher räumt allerdings ein, dass die Gefahr für die Nutzer überschaubar ist. Denn die App verzichtet zwar in vielen Bereichen auf eigentlich bewährte Sicherheitsvorkehrungen zum Schutz vor unbefugten Zugriffen. Auf der anderen Seite stellt Clubhouse aber auch nicht besonders viele kritische Funktionen zur Verfügung. Grundsätzlich kann die App also auch weiterhin genutzt werden. Nutzer sollten lediglich darauf achten, nicht zu viele persönliche Informationen preiszugeben. Theoretisch besteht auch die Möglichkeit, die eigenen Daten löschen zu lassen. Dafür muss allerdings eine E-Mail an die Firma geschrieben werden. Zukünftig sollen die Schwachstellen zudem ohnehin behoben werden. Dies kündigte zumindest die Firma Alpha Exploration Co., die die App entwickelt hat, an. So soll ein sogenanntes Bug-Bounty-Programm aufgelegt werden. Externe Sicherheitsexperten und Hacker würden dann dafür belohnt, wenn sie Sicherheitslücken aufdecken und den Entwicklern melden.

Via: Der Spiegel

Tags

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.