Clubhouse: Ärger wegen Sicherheitslücken und Datentransfer nach China

Clubhouse nutzt für den Online-Plausch eine Audiochat-Funktion des chinesischen Startups Agora, mit der einzelne Nutzer gezielt mitgeschnitten werden können.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 31 Beiträge

(Bild: Camilo Concha/Shutterstock.com)

Von
  • Stefan Krempl

Clubhouse gerät wegen Mängeln beim Datenschutz und der IT-Sicherheit zunehmend in die Kritik. Die Social-Media-Anwendung für Podcasts und Gruppengespräche setzt für ihre zentrale Audiochat-Funktion auf eine Lösung des chinesischen Startups Agora.io. Verschiedene Teams von IT-Sicherheitsforschern haben nun herausgefunden, dass Nutzerdaten dabei unverschlüsselt nach China wandern und auch sonst einfach aus dem Dienst "herausgetragen" werden können.

Die Experten der Gruppe "Zerforschung" hatten Ende Januar bereits herausgefunden, dass Clubhouse bei dem verwendeten Agora-Dienst Tokens als Autorisierungsmethode nutzt, damit Mitglieder einen Chatraum betreten können. Sie verwendeten dafür ein per Jailbreak modifiziertes iPhone, um erweiterte Zugriffsrechte auf interne Funktionen sowie das Dateisystem zu bekommen, sowie ein von Agora veröffentlichtes Software Development Kit (SDK) für die Sprechapplikation. Der Token wird laut den Hackern serverseitig generiert, bei Clubhouse mit dem Aufruf der Funktionen "join_channel" oder "create_channel". Bei einem so über das SDK erfolgenden Eintritt in einen Kanal, tauche der entsprechende Nutzer bereits im Chatraum auf und werde als reiner Zuhörer "gemutet" angezeigt.

Über die Entwicklungsumgebung sei es dann auch mit dem Befehl "startAudioRecording" möglich gewesen, heimlich eine Aufnahme des Chats zu starten und sogar "gezielt einzelne Personen mitzuschneiden". Beim Gebrauch der Funktion "leave_channel" verschwanden entsprechend angelegte Mitglieder zwar angeblich aus der Raumübersicht, "konnten aber trotzdem weiterhin mithören". "Praktischerweise" würden in Agora die gleichen einzigartigen Nutzer-IDs verwendet wie in Clubhouse, sodass mitgeschnittene Kommunikation sogar automatisch Usern zugeordnet werden könne, schrieben die Forscher nach wenigen Stunden Tüftelei.

Prinzipiell sei es einfach, fast unerkannt Gespräche auf Clubhouse aufzuzeichnen. Im November habe es zudem schon Hinweise darauf gegeben, dass mit einer einzelnen Funktion die Profile aller Nutzer auf einen Schlag abgefragt werden könnten. Den Hackern gelang es mittlerweile ferner, über ein probeweise direkt über Agora erstelltes Konto Ton einzuspielen. "Dies funktionierte auch noch, nachdem wir den Raum verlassen hatten – wir konnten weiterhin an Gesprächen teilnehmen", schreiben sie in einem neuen Bericht. "Das Ganze testeten wir natürlich in privaten Räumen, um niemanden zu stören." Das Standardverhalten von Clubhouse sei dort, dass zunächst alle Teilnehmer sprechen dürften. Daneben gebe es für größere "Auftritte" die Funktion einer virtuellen Bühne. Auf diese müsse man "geholt" werden, um im ganzen Raum hörbar zu sein. Der Rest bleibe im stummen virtuellen Publikum.

Nach den bisherigen Erfahrungen ahnten die Forscher nach eigenen Angaben "Schlimmes", als sie ihr Test-Konto in so eine größere Zuhörerschaft verschoben: "Wie erwartet wurde auch sofort allen im Raum angezeigt, dass der Account nun nicht mehr sprechen kann und sich in der Audience befindet." Allerdings habe sich über das Konto problemlos entgegen der Regel zum Stummschalten weiter Ton abspielen lassen, "der im ganzen Raum zu hören war". So lässt sich die Rednerfunktion folglich kapern beziehungsweise eine virtuelle Kundgebung massiv stören. Das Problem verschärft dem Beitrag zufolge, dass mit dem Rauswurf-Knopf auch die einzige Funktion von Clubhouse "kaputt" sei, mit dem ein Moderator unerwünschte Teilnehmer und ihre Audiodarbietungen unterbinden könnte. Damit einher gehe zwar die Aufforderung, den Chatraum zu verlassen. Mit der modifizierten App lasse sich diese Bitte aber einfach ignorieren. Spreche man direkt über Agora, hätten sämtliche Moderationsmöglichkeiten der Clubhouse-App keine Wirkung. Die Option, Ton einzuspielen, funktioniere weiter, "bis der Raum schlussendlich für alle geschlossen wird".

Das "Internet Observatory" der Stanford-Universität (SIO) bestätigte parallel, dass das in Schanghai ansässige Unternehmen Agora "die Back-End-Infrastruktur für die Clubhouse-App liefert". Die dortigen Wissenschaftler entdeckten dabei, dass die Clubhouse-IDs der Nutzer und Chatroom-IDs im Klartext übertragen werden. Dies verschaffe der Firma offenbar Zugang zu sämtlichen Audio-Mitschnitten aus der App. Die Nutzung von Clubhouse ist in China selbst allerdings untersagt.

Agora sei gesetzlich verpflichtet, die chinesische Regierung beim Orten und Aufbewahren von Audionachrichten zu unterstützen, wenn die dortigen Behörden dies im Namen der nationalen Sicherheit forderten. In der Datenschutzerklärung von Clubhouse sei davon keine Rede. Der Dienstleister teilte dem SIO laut einem Bericht inzwischen mit, eine "zusätzliche Verschlüsselung und Sperren einzubauen, um zu verhindern, dass Clubhouse-Clients Pings an chinesische Server senden". Man werde eine externe Sicherheitsfirma beauftragen, um die entsprechenden Updates zu überprüfen und zu validieren.

Die Gruppe "Zerforschung" hat den Clubhouse-Betreiber Alpha Exploration nach eigener Darstellung ebenfalls schon über die ausfindig gemachten Sicherheitslücken informiert. Sie will kommende Woche Details zu den Hacks publizieren. Datenschützer hatten Alpha Exploration jüngst bereits einen Katalog offener Fragen geschickt und Ermittlungen eingeleitet.

(emw)