Kritik an Gesprächs-App Clubhouse: IT-Experte warnt vor Sicherheitslücken
Es war ein steiler Aufstieg, den "Clubhouse" zuletzt hinlegte. Doch mit dem Hype nimmt auch die Kritik zu. Sicherheitslücken der
Clubhouse hat es geschafft, innerhalb weniger Tage zum neuen Internethype zu werden. Geht es nach den Machern der Gesprächs-App, ist das erst der Anfang. Neben einer Android-Version soll es bald auch Einnahmemöglichkeiten für Gastgeber geben.
Doch mit dem rasanten Aufstieg wächst auch die Kritik. Datenschützer bemängeln etwa den Umgang mit Daten. So verlangt die App den Zugriff auf das Adressbuch im iPhone, um Bekannte einzuladen. Von diesen hochgeladenen Kontakten legt die App zudem offenbar Schattenprofile an, ohne dass die jeweiligen Personen der App beigetreten wären.
Clubhouse öffnet Hackern die Tür
Doch neben diesen Datenschutzlücken hat die App auch beim Thema Datensicherheit noch Nachholbedarf. Dem "Spiegel" hat der Hamburger IT-Sicherheitsexperte Thomas Jansen im Rahmen eines Beitrags mögliche Angriffspunkte für Hacker aufgezeigt. Dafür spielte Jansen eine Reihe von möglichen durch. Sein Ergebnis: Die Funktionen der App seien "oft unzureichend abgesichert". So verzichteten die Macher auf bewährte Verfahren, die eigentlich vor unbefugten Zugriffen schützen sollen.
Als Beispiel nennt Jansen die Möglichkeit, Gespräche mitzuschneiden. Eigentlich sieht die App diese Funktion in der Benutzeroberfläche nicht vor. Doch über eine integrierte Software-Bibliothek sei ein Mitschnitt dennoch möglich. Dafür brauche man lediglich ein iPhone mit Jailbreak. Ebenso einfach sei es möglich gewesen, unbemerkt Nutzerdaten über die Programmierschnittstelle, die sogenannte API, abzufragen. Um das Verzeichnis aller bisher registrierten 2,8 Millionen Nutzer herunterzuladen, bräuchte er knapp ein Wochenende, schätzt Jansen. Zwar erhalte der Datensatz keine Handynummern, doch dafür seien Nutzernamen, Namen, Profilbilder, das Datum der Registrierung sowie weitere Details enthalten. Auch sei einsehbar, wer wen wann zu der App eingeladen habe.
Nutzer lassen sich aussperren
Außerdem gebe der Server "bereitwillig Auskunft darüber, ob sich der Besitzer einer bestimmten Mobilfunknummer schon bei Clubhouse registriert hat, ob für die Nummer eine Einladung besteht oder ob sie dem System komplett unbekannt ist", so Jansen. Kennt man also die Nummer eines Nutzers, könne diesem problemlos der Zugriff auf die das Konto verweigert werden.
Wir benötigen Ihre Einwilligung, um den von unserer Redaktion eingebundenen X-Inhalt anzuzeigen. Sie können diesen (und damit auch alle weiteren X-Inhalte auf t-online.de) mit einem Klick anzeigen lassen und auch wieder deaktivieren.
Über den digitalen Tokens jedes Nutzers, die digitale Eintrittskarte zur App, lassen sich Benutzerkonten laut Jansen sogar dauerhaft übernehmen, ohne dass es dafür den Zugriff auf das jeweilige Smartphone brauche. Für den Fall eines größeren Datenlecks könnten so massenhaft Accounts gekapert werden. Auch zufällige Account-Übernahmen seien mit Kenntnis der vierstelligen Pin möglich, die jeder Nutzer bei der Anmeldung erhält. In Verbindung mit den zuvor abgefragten Telefonnummern konnte Jansen innerhalb weniger Minuten über 1.000 registrierte Nummern zuzuordnen. Im Schnitt könnte mit sogenannten Bruce-Force-Attacke so jeder 333. Account übernommen werden.
In einer Stellungnahme bescheinigte Clubhouse dem Spiegel, dass die Privatsphäre der Nutzer und die Datensicherheit oberste Priorität hätten. Außerdem solle demnächst eine Option eingeführt werden, mit der die eigenen Daten gelöscht werden können. Bisher ist dies nur über den Support der App möglich.
