Clubhaus: Was ist mit der Privatsphäre, wie man ein Gespräch aufzeichnet und was hat China damit zu tun?
In den letzten Wochen hat sich das soziale Netzwerk Clubhouse zu einem der am meisten diskutierten nicht nur auf der Welt, sondern auch in Runet entwickelt: Elon Musk lädt Wladimir Putin zum Chatten ein, Mark Zuckerberg befahl die Schaffung eines ähnlichen sozialen Netzwerks und Vladimir Solovyov droht Bionikeln die Köpfe abzureißen, weil sie verboten werden.
Dennoch droht dieser durchschlagende Erfolg zum absoluten Misserfolg zu werden, denn neben der Aufmerksamkeit der breiten Öffentlichkeit hat das Netzwerk auch das Interesse von Spezialisten für Informationssicherheit geweckt. Und wie sich herausstellte, ist das Interesse nicht unbegründet.
Übermittlung personenbezogener Daten an Server in China
Ein Team des Internet Observatory der Stanford University hat eine Verbindung zwischen einem sozialen Netzwerk und einem in Shanghai ansässigen Startup entdeckt. Wie sich herausstellte, nutzt Clubhouse die Infrastruktur der Agora-Plattform für die Echtzeitkommunikation, was die Forscher alarmierte. Darüber hinaus findet sich in der Datenschutzerklärung des sozialen Netzwerks kein Wort über die Zusammenarbeit mit dem genannten Startup.
Eine genauere Analyse führte zu signifikanten Ergebnissen – eindeutige Benutzer-IDs und Räume werden unverschlüsselt an die Agora-Server gesendet, und die Server erhalten Daten unabhängig vom physischen Standort der Benutzer. Dies wurde bei einem Check-in festgestellt, bei dem sich nur US-Clubhouse-Benutzer im Raum befanden.
Basierend auf den Forschungsdaten vermuten Experten, dass Agora neben Benutzerinformationen möglicherweise auch Zugriff auf Audioaufzeichnungen von Gesprächen hat, konnten dies jedoch nicht bestätigen.
Die Reaktion von Clubhouse auf die Studie ließ nicht lange auf sich warten: Das Management versichert, dass die Privatsphäre von Gesprächen eine der Prioritäten des sozialen Netzwerks sei, während es Sicherheitsprobleme nicht anerkenne und die Formulierung „Bereiche für Verbesserungen” vorziehe. Dennoch versprach das Unternehmen, die Probleme in kurzer Zeit zu beheben und unabhängige Experten für Informationssicherheit mit der Überprüfung zu beauftragen.
Scheinbar ist der Vorfall beigelegt – die Probleme sind beseitigt, die Tonaufzeichnungen der Gespräche sind sicher … Und tatsächlich, es schien nur so.
Hackern ist es gelungen, Gespräche in den Clubhouse-Räumen aufzuzeichnen
Natürlich kann jeder fortgeschrittene Benutzer eines sozialen Netzwerks ein Gespräch in dem Raum aufzeichnen, in dem er sich befindet – es gibt genügend Anwendungen zum Aufzeichnen von Gesprächen. Die Hacker gingen noch weiter: Anstatt ein Gespräch in einem separaten Raum aufzuzeichnen, gelang es ihnen, den Audiostream aus mehreren Räumen gleichzeitig auf ihre Webressource zu bringen.
Fast zeitgleich mit ihnen schrieb ein chinesischer Nutzer einen Code, der es jedem ermöglicht, Dialoge im Clubhouse ohne Einladung anzuhören, und postete ihn auf GitHub.
Wie im vorherigen Fall arbeitete Clubhouse schnell: Die Schwachstellen wurden in nur einem Tag behoben, und der Benutzer, der den Audiostream ausgab, wurde gesperrt. Es ist jedoch nicht bekannt, wie lange diese Schwachstellen von anderen Hackern ausgenutzt werden könnten.
Bemerkenswert ist, dass der neue Skandal weitere Diskussionen provozierte: Der Geschäftsführer der Datenschutzberatungsfirma PIX LLC sagte, Clubhouse habe die Datenschutzrichtlinie nicht gebührend beachtet – weil die Anwendung nicht nur persönliche Informationen, sondern auch eine Liste von Kontakten sammelt. Darüber hinaus erfordert Clubhouse Zugriff auf Twitter-Kontoinformationen, erklärt diese Notwendigkeit jedoch in keiner Weise.
Infolgedessen haben Spezialisten viele Forderungen zum Schutz von Benutzerdaten und zur Vertraulichkeit von Gesprächen erhoben, von denen die meisten jedoch keine erhebliche Gefahr darstellen. Aber das Interesse, das Clubhouse geweckt hat, ist nicht umsonst, und Enthusiasten schaffen immer mehr neue Wege, um den Schutz des sozialen Netzwerks zu umgehen.
Telegramm-Bot zum Aufzeichnen von Gesprächen im Clubhouse
Neulich hat ein Enthusiast einen Telegramm-Bot vorgestellt, mit dem Sie Gespräche im Clubhaus aufzeichnen können. Die Arbeit damit ist extrem einfach: Sie müssen einen Link zu einem aktiven Chatroom senden, woraufhin der Bot der Konferenz beitritt und mit der Aufzeichnung beginnt. Am Ende des Gesprächs sendet der Bot eine oder mehrere Audiospuren mit einer Aufzeichnung des Gesprächs zurück.
Der Entwickler behauptet, dass der Bot nicht gegen die Regeln des sozialen Netzwerks verstößt, da er vor der Notwendigkeit einer schriftlichen Zustimmung zur Aufzeichnung des Gesprächs aller Teilnehmer warnt, aber nicht spezifiziert, wie der Bot Zugang zum Chatroom erhält. Nun, mit der Zeit werden wir herausfinden, wie sehr Clubhouse-Vertreter die Meinung der Enthusiasten teilen.
Clubhaus: sicher oder nicht?
Diese Frage kann noch nicht eindeutig beantwortet werden – das soziale Netzwerk hat nur an Popularität gewonnen und soll nur mit der Zeit getestet werden. Wie bei jedem Thema gibt es zwei Seiten der Medaille: Einerseits gibt es viele Fragen nicht nur zum Datenschutz, sondern auch zum tatsächlichen Datenschutz; Andererseits reagiert das Unternehmen zeitnah auf auftretende Probleme und löst diese in kurzer Zeit.
Basierend auf den verfügbaren Informationen kann das Clubhaus für die Freizeit genutzt werden – um interessanten Rednern zuzuhören und vielleicht sogar an einem Gespräch über interessante Themen teilzunehmen. Gleichzeitig ist es nicht empfehlenswert, dieses soziale Netzwerk für berufliche Aktivitäten zu nutzen, da es trotz der schnellen Lösung aufkommender Probleme immer noch genug davon gibt – was dazu führt, dass das Unternehmen die Sicherheit Ihrer Gespräche oder Daten nicht garantieren kann.