Heimlicher Datentransfer nach China? Clubhouse weist weitere Sicherheitslücken auf

Mehrere IT-Sicherheitsforscher:innen haben die Drop-in audio App genauer hinsichtlich der Datensicherheit geprüft. Das Ergebnis: Es können nicht nur gezielt User-Gespräche aufgezeichnet und gespeichert werden, sondern es ist auch ein Informationsaustausch mit China über Clubhouse möglich.

„StartAudioRecording“: Hacker-Gruppe kann über das SDK einfach Gespräche mitschneiden

Die Hacker-Gruppe „Zerforschung“ fand heraus, dass Clubhouse für seinen Service Audio-Features des chinesischen Startups Agora.io verwendet. Diese basieren auf Tokens, die den Nutzer:innen den Eintritt in einen Audiochat-Raum innerhalb der App ermöglichen. Bei der Untersuchung des SDK (Software Development Kits) fanden die Expert:innen heraus, dass mit diesen serverseitig generierten Tokens auch der Befehl „StartAudioRecording“ ausgeführt werden kann. „Zerforschung“ schreibt in dem Bericht:

Clubhouse nutzt Tokens. Dieses Token wird serverseitig generiert, bei Clubhouse bekommen wir dieses wenn wir den “join_channel”- oder “create_channel”-Endpoint aufrufen. […] Wie praktisch, es gibt “startAudioRecording” um eine Aufnahme zu starten. Wir können uns sogar aussuchen, in welcher Qualität die Aufnahme passieren soll.

Ebenfalls praktisch laut der Hacker-Gruppe: Agora.io verwendet die gleichen Nutzer-IDs wie Clubhouse, sodass die Gesprächsmittschnitte automatische Nutzer:innen zugeordnet werden können.

Datenaustausch mit China: Clubhouse speichert User-Informationen auf unbestimmte Zeit

Eine weitere Untersuchung des „Internet Observatory“ der Stanford University (SIO) bestätigte, dass die verwendete Back-End-Infrastruktur der Hype App von Agora.io stammt. Problematisch sei dabei, dass das in China ansässige Startup, mit dem Clubhouse zusammenarbeitet, dazu verpflichtet ist, der chinesischen Regierung Informationen über die User zu liefern, sollte diese die Daten anfordern. In China selbst ist Clubhouse bereits der Zensur zum Opfer gefallen.

Any observer of internet traffic could easily match IDs on shared chatrooms to see who is talking to whom. For mainland Chinese users, this is troubling

(4/8)

— Stanford Internet Observatory (@stanfordio) February 13, 2021

Da die Wissenschaftler:innen ebenfalls entdeckten, dass die Clubhouse-IDs der User und die im Chatroom verwendeten IDs im Klartext übertragen werden, ist eine genaue Zuordnung der Gesprächsmittschnitte unkompliziert möglich. Das SIO schreibt weiter:

Clubhouse’s Privacy Policy states that user audio will be “temporarily” recorded for the purpose of trust and safety investigations [..]The policy does not specify the duration of “temporary” storage. Temporary could mean a few minutes or a few years. The Clubhouse privacy policy does not list Agora or any other Chinese entities as data sub-processors. […] The Chinese government could, however, legally demand audio (or other user data) stored in China […].

Clubhouse reagierte derweil auf die Sicherheitslücken. Das Unternehmen hinter der Hype App – Alpha Exploration Co. – gab an, die Datenverschlüsselung ausbauen zu wollen.

Neue Features statt Datensicherheit? Clubhouse erweitert die Room-Größe

Clubhouse stand bereits wegen erheblicher Datenschutzlücken in der Kritik. So erklärten verschiedene Rechts- und IT-Expert:innen OnlineMarketing.de gegenüber, dass die App nicht DSGVO-konform sei. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Caspar, erklärt:

Die gesamte Datenschutzarchitektur der App Clubhouse zeigt, dass der Dienst offenbar zu schnell gewachsen ist und den Anforderungen der DSGVO nicht Rechnung trägt.

Trotz der zahlreichen Mängel wächst die App und auch andere Social-Media-Plattformen folgen dem Audio-Only-Trend. So arbeitet Facebook bereits an einer Clubhouse-Kopie und auch Twitter möchte mit Spaces in diesem Bereich durchstarten. Die Hype App, die momentan nur auf dem iPhone genutzt werden kann, arbeitet derweil an neuen Features. So entdecke Reverse-Engineering-Expertin Jane Machun Wong, dass Clubhouse die Größe der Rooms erweitertet hat.

did… did clubhouse lift the room size limit? pic.twitter.com/wsOHqbTxVg

— Jane Manchun Wong (@wongmjane) February 16, 2021

Wie es mit der Drop-In audio App hinsichtlich des Feature-Ausbaus und der Verbesserung der Datensicherheit weitergehen wird, bleibt abzuwarten. Sicher ist allerdings, dass Clubhouse bereits an einer Android-Version arbeitet, um so für ein noch größeres Publikum zugänglich zu sein.