Hat sich jemand mal den Beitrag aus der Redaktion durchgelesen und Gedanken gemacht was da so geschrieben steht? Angefangen bei dem vom Autor interpretierten Text aus der Quelle vom Spiegel?
1. Download von Daten möglich
Die angeblichen Daten sind öffentlich einsehbar und jemand hat die URL der API rausbekommen und kann diese Daten im Batch Verfahren abfragen. WOW. Ihr werdet es nicht glauben, aber das kann man auf jedem Portal machen wo Nutzer ihre Daten öffentlich hinterlegen. Sogar hier im Forum steht das Beitrittsdatum, der Nickname und alle Beiträge eines Nutzers öffentlich zum Abgreifen da. Zwar nicht schön über ne API aber nen Webcrawler kriegt das schon hin, nicht wahr Google?
2. Auskunftsfreudiger Server
Anmelden auf einem neuen Gerät abgefragt wird und bei der das System den Account erst nach 15 Fehleingaben sperrt. Durch die beschriebene Massenabfrage konnte Jansen durch die Abfrage von rund einer Million zufällig ausgewählten Mobilfunknummern innerhalb von nur sechs Minuten 1.221 Nummern extrahieren, die bei Clubhouse registriert sind. Mittels einer anschließenden Brute-Force-Attacke könnte so im Durchschnitt jeder 667. Account einen Treffer abbilden – alle 160 Sekunden.
Falls das jemand nicht nachvollziehen kann was der Autor hier meint, hier der Auszug aus dem Spiegel der nicht kaputtinterpretiert wurde.
15 möglichen Versuchen pro Account kann per Brute Force (dem Durchprobieren aller Möglichkeiten) im Durchschnitt jeder 667. Account übernommen werden: 10.000 durch 15. Bei rund 1220 validen Handynummern alle sechs Minuten ließe sich also alle 160 Sekunden irgendein Account übernehmen.
Die Milchmädchenrechnung ist dabei das Beste. Man nehme Wahrscheinlichkeitstheorie, ohne sich Gedanken zu machen. Setzt hier und da paar Zahlen ein und sorgt für staunen. Ich wette dieser "Sicherheitsexperte" oder Troll wie ich ihn eher bezeichnen würde, bekommt keinen einzigen Account gehackt. Bruteforce bei einer Pin-Sperre von 15 versuchen? Geht der davon aus, dass jeder 667 Nutzer z.B. eine Pin zwischen 0000-0014 hat?
3. Gespräche einfach mitschneiden
... lediglich eines mit einem Jailbreak versehenen iPhones ...
Ja klar, die Clubhouse Nutzer sind dafür bekannt ihre IPhones zu Jailbreaken um ganz einfach Gespräche aufzuzeichnen. Einfach mal eben nen Jailbreak. Wenn jemand vor hat Gespräche einfach aufzuzeichnen, dann nutzt er ein Diktiergerät und wird dafür nicht extra "umständlich" sein IPhone Jailbreaken.
Richtige Sicherheitslücke die ich sehen konnte ist, das nicht ablaufende Token. Aber da ran zu kommen wird schwer. Ich vermute das die API per https kommuniziert und Nutzer die ihr Phone Rooten oder Jailbreaken sind sich dem Risiko bekannt, das Software die Rootrechte erlangt, schaden anrichten kann und eigentlich alles mitschneiden kann. Da hat man dann andere Probleme.
Nervig ist auch das Sperren der Accounts, aber das ist wohl bei mehreren Anwendungen ein Problem. Hier hilft nur IP Sperre, die man aber mit nem Cluster an Rechnern wohl auch aushebeln kann.
Naja unterm Strich eine App, gesichert wie fast jede andere Anwendung. Hier hat wohl nur jemand Langeweile gehabt und dachte sich, machen wir heute mal Clubhouse fertig. Viral wird das wie ne Bombe einschlagen. Fast so spektakulär wie der Schwerz mit "500.000 nVidia Karten im Container gefunden". Das schön zeigt das viele Journalisten einfach ohne ihr Hirn einzuschalten, irgend nen Mist kopieren anstatt sich Gedanken zu machen was da steht.