News Clubhouse: Sicherheitslücke ermöglicht Zugriff auf Nutzerdaten

[Faust II]

Scheint auf jeden Fall eine echt super und hippe App zu sein..

 

[MaverickM]

ich halte einfach nichts von den Praktiken weil sie die Falschen reize bedienen.

Welche Praktiken? Clubhouse ist eine Live-Podcast App, bei der sich Hörer ähnlich einer Diskussionsrunde auch mit ins Gespräch einbringen können. Das kann prinzipiell sehr spannend sein, ich sehe da nichts Verwerfliches dran. Im Gegensatz zu anderen, gerade bei der Jugend (noch) populären Netzwerken, sehe ich dagegen sogar sinnvolles Potential.

Dass die App und die Netzwerkstruktur dahinter technischer Müll ist, steht auf einem anderen Blatt Papier. Und wie gesagt, das Einladesystem gab es auch bei den von mir genannten Beispielen, lange bevor sie populär wurden.

 

[KitKat::new()]

Welche Praktiken?

Ja eben genau den Einladesystemen, welche den Haben-Will-Reiz auslösen, weil man ja unbedingt auch dazugehören will 😀

 

[Brandkanne]

Zum Glück fühle ich (1989) mich zu alt für sowas. ¯\(ツ)/¯

 

[Rayman2200]

Hat sich jemand mal den Beitrag aus der Redaktion durchgelesen und Gedanken gemacht was da so geschrieben steht? Angefangen bei dem vom Autor interpretierten Text aus der Quelle vom Spiegel?

1. Download von Daten möglich
Die angeblichen Daten sind öffentlich einsehbar und jemand hat die URL der API rausbekommen und kann diese Daten im Batch Verfahren abfragen. WOW. Ihr werdet es nicht glauben, aber das kann man auf jedem Portal machen wo Nutzer ihre Daten öffentlich hinterlegen. Sogar hier im Forum steht das Beitrittsdatum, der Nickname und alle Beiträge eines Nutzers öffentlich zum Abgreifen da. Zwar nicht schön über ne API aber nen Webcrawler kriegt das schon hin, nicht wahr Google?

2. Auskunftsfreudiger Server

Anmelden auf einem neuen Gerät abgefragt wird und bei der das System den Account erst nach 15 Fehleingaben sperrt. Durch die beschriebene Massenabfrage konnte Jansen durch die Abfrage von rund einer Million zufällig ausgewählten Mobilfunknummern innerhalb von nur sechs Minuten 1.221 Nummern extrahieren, die bei Clubhouse registriert sind. Mittels einer anschließenden Brute-Force-Attacke könnte so im Durchschnitt jeder 667. Account einen Treffer abbilden – alle 160 Sekunden.

Falls das jemand nicht nachvollziehen kann was der Autor hier meint, hier der Auszug aus dem Spiegel der nicht kaputtinterpretiert wurde.

15 möglichen Versuchen pro Account kann per Brute Force (dem Durchprobieren aller Möglichkeiten) im Durchschnitt jeder 667. Account übernommen werden: 10.000 durch 15. Bei rund 1220 validen Handynummern alle sechs Minuten ließe sich also alle 160 Sekunden irgendein Account übernehmen.

Die Milchmädchenrechnung ist dabei das Beste. Man nehme Wahrscheinlichkeitstheorie, ohne sich Gedanken zu machen. Setzt hier und da paar Zahlen ein und sorgt für staunen. Ich wette dieser "Sicherheitsexperte" oder Troll wie ich ihn eher bezeichnen würde, bekommt keinen einzigen Account gehackt. Bruteforce bei einer Pin-Sperre von 15 versuchen? Geht der davon aus, dass jeder 667 Nutzer z.B. eine Pin zwischen 0000-0014 hat?

3. Gespräche einfach mitschneiden

... lediglich eines mit einem Jailbreak versehenen iPhones ...

Ja klar, die Clubhouse Nutzer sind dafür bekannt ihre IPhones zu Jailbreaken um ganz einfach Gespräche aufzuzeichnen. Einfach mal eben nen Jailbreak. Wenn jemand vor hat Gespräche einfach aufzuzeichnen, dann nutzt er ein Diktiergerät und wird dafür nicht extra "umständlich" sein IPhone Jailbreaken.



Richtige Sicherheitslücke die ich sehen konnte ist, das nicht ablaufende Token. Aber da ran zu kommen wird schwer. Ich vermute das die API per https kommuniziert und Nutzer die ihr Phone Rooten oder Jailbreaken sind sich dem Risiko bekannt, das Software die Rootrechte erlangt, schaden anrichten kann und eigentlich alles mitschneiden kann. Da hat man dann andere Probleme.

Nervig ist auch das Sperren der Accounts, aber das ist wohl bei mehreren Anwendungen ein Problem. Hier hilft nur IP Sperre, die man aber mit nem Cluster an Rechnern wohl auch aushebeln kann.

Naja unterm Strich eine App, gesichert wie fast jede andere Anwendung. Hier hat wohl nur jemand Langeweile gehabt und dachte sich, machen wir heute mal Clubhouse fertig. Viral wird das wie ne Bombe einschlagen. Fast so spektakulär wie der Schwerz mit "500.000 nVidia Karten im Container gefunden". Das schön zeigt das viele Journalisten einfach ohne ihr Hirn einzuschalten, irgend nen Mist kopieren anstatt sich Gedanken zu machen was da steht.

 

[foo_1337]

Finde das ganze auch ziemlich lustig. Die meisten Rooms da sind ohnehin öffentlich und ob das Ganze nun jemand mitschneidet oder nicht ist egal. Ich war heute in einem Raum, bei dem Thelen und ein paar andere moderiert haben. Da waren viele hundert, wenn nicht tausend, anwesende. Wer das Ding nutzt, um geheime Dinge zu besprechen, hat den Sinn der App nicht verstanden.
Das Problem von den meisten Conferencing Apps wenn mehrere Teilnehmer gleichzeitig sprechen ist hier übrigens nicht existent. Hitzige Diskussionen klappen da sehr gut. Wäre schön, wenn sich Teams, Zoom, Jitsi & Co hier orientieren würden.