Clubhouse: Sicherheitslücke ermöglicht Zugriff auf Nutzerdaten
Die aktuell nur für iOS verfügbare Voice-Chat-App „Clubhouse“ hat mit teilweise eklatanten Sicherheitsmängeln zu kämpfen. Diese ermöglichen es unter anderen das Abgreifen von großen Datenmengen sowie die Übernahme oder das Sperren von Konten.
Wie einfach dies teilweise sein kann, hat der Sicherheitsexperte Thomas Jansen gegenüber SPIEGEL demonstriert. Um die Sicherheitsmängel zu erkennen brauchte der Hamburger Experte dem Artikel zufolge gerade einmal einen Tag, dann war deutlich, wie das Unternehmen in puncto Datensicherheit schludert. So sollen die Entwickler an mehreren Stellen auf bewährte Mechanismen verzichtet haben, um die Benutzer vor unbefugten Zugriffen zu schützen. Als Vorteil kann sich dabei erweisen, dass die App selbst nur wenige Funktionen bietet und die Angriffsfläche somit kleiner als bei anderen Apps ausfällt: „Die App stellt nicht viele Funktionen zur Verfügung, diese sind aber oft unzureichend abgesichert. “, so Jansen.
Download von allen Nutzerdaten an einem Wochenende möglich
So fand Jansen heraus, dass die Drosselung der Schnittstellen, über die Nutzerdaten abgefragt werden können, erst deutlich zu spät greift. Damit ist es möglich innerhalb kurzer Zeit eine große Menge von Daten anderer Nutzer abzugreifen. Bei einem Versuch konnte Jansen einige Tausend Anfragen an den Server stellen, bevor er von den Sicherheitsmechanismen des Systems zumindest für einige Minuten ausgebremst wurde. Seiner Einschätzung nach bräuchte es mit seiner Methode rund ein Wochenende, um die Daten aller aktuell rund 2,8 Millionen registrierten Nutzer vom System herunterzuladen. Bei einem parallelen Zugriff mehrerer Geräte könnte sich die Zeit unter Umständen sogar verringern.
Die Datensätze enthalten zwar nicht die Telefonnummer, mit welchen die Teilnehmer bei dem Dienst registriert sind, jedoch andere persönlichen Dinge wie Namen, Nutzernamen oder Profilbilder sowie Selbstbeschreibungen, eventuelle Followerzahlen und das Datum der Registrierung. Zudem fanden sich auch Twitter- und Instagram-Accountnamen in den Daten, wie Jansen mit Screenshots belegen konnte. Diese Daten sind innerhalb des Dienstes zwar nicht geheim und jeder Nutzer kann diese einsehen, jedoch immer nur einzeln. Darüber hinaus ließen sich aus den Daten Rückschlüsse ziehen, wer von wem zu welchem Zeitpunkt eine der aktuell sehr begehrten Einladungen erhalten hat.
Auskunftsfreudiger Server
Anders herum lassen sich ebenso einige Dinge in Erfahrung bringen: So gibt laut Jansen der Server „bereitwillig Auskunft darüber, ob sich der Besitzer einer bestimmten Mobilfunknummer schon bei Clubhouse registriert hat, ob für die Nummer eine Einladung besteht oder ob sie dem System komplett unbekannt ist “. Dieser Zustand erhöht die Gefahr, Accounts übernehmen zu können, was nach Ansicht Jansens eines der realistischsten Szenarien darstellt. So erhalten Nutzer bei der Anmeldung eine vierstellige Zahlen-PIN, welche bei einer Neuinstallation der App oder auch beim Anmelden auf einem neuen Gerät abgefragt wird und bei der das System den Account erst nach 15 Fehleingaben sperrt. Durch die beschriebene Massenabfrage konnte Jansen durch die Abfrage von rund einer Million zufällig ausgewählten Mobilfunknummern innerhalb von nur sechs Minuten 1.221 Nummern extrahieren, die bei Clubhouse registriert sind. Mittels einer anschließenden Brute-Force-Attacke könnte so im Durchschnitt jeder 667. Account einen Treffer abbilden – alle 160 Sekunden.
Einmal Türsteher spielen
Ein Leichtes ist es zudem, Nutzer willkürlich auszusperren. Dazu bedarf es lediglich der jeweiligen Mobilfunknummer. Mit dieser lassen sich leicht Personen für 15 Minuten aussperren, bei Nutzung eines entsprechenden Scripts auch länger. Ausgesperrten Nutzern bleibt dann nur, denn Clubhouse-Support zu kontaktieren, anders können diese nicht mehr auf ihren Account zugreifen. Auch diese Sicherheitslücke konnte Jansen anhand des Accounts des SPIEGEL-Redakteurs belegen. Eine weitere Schwachstelle des Systems ist, dass Nutzern bei ihrer Registrierung ein einmaliges und niemals ablaufendes Token zugeteilt wird. Wer diesem Token habhaft wird, kontrolliert im Grunde den Account des jeweiligen Nutzers – auch aus der Ferne.
Gespräche einfach mitschneiden
Ebenso theoretisch einfach ist es, die Gespräche in der App mitzuschneiden. Dazu bedarf es lediglich eines mit einem Jailbreak versehenen iPhones um Zugriff auf die entsprechenden Funktionen der Bibliotheken zu erhalten. Anschließend lassen sich die Chats in hoher Qualität mitschneiden.
Motivation vielschichtig
Jansen sieht die Motivation zur Ausnutzung der Sicherheitslücken als vielschichtig an: Auf der einen Seite könnte Angreifer diese lediglich aus „Spaß“ ausnutzen, aber auch um gekaperte Accounts für „Propaganda oder rufschädigende Darstellungen“ zu nutzen. Auf der anderen Seite könnte mit gekaperten Accounts auch schnell etwas Geld verdient werden, wenn bedacht wird, dass aktuell Einladungen für 10 bis 30 Euro auf Ebay gehandelt werden.
Jansens Vorgehen blieb indes nicht unbemerkt: Kurze Zeit nach der Analyse wurde sein Account gesperrt.
Nicht das einzige Problem
Dennoch ist die Sicherheit der Accounts nicht das einzige Problem, mit denen Clubhouse in Deutschland beziehungsweise Europa zu kämpfen hat. Erst kürzlich wies die Verbraucherschutzzentrale NRW auf deutliche Versäumnisse in Sachen Datenschutz hin.