News Clubhouse: Sicherheitslücke ermöglicht Zugriff auf Nutzerdaten
- Ersteller mischaef
- Erstellt am
- Zur News: Clubhouse: Sicherheitslücke ermöglicht Zugriff auf Nutzerdaten
- Registriert
- Juni 2001
- Beiträge
- 25.636
Coeckchen schrieb:
Welche Praktiken? Clubhouse ist eine Live-Podcast App, bei der sich Hörer ähnlich einer Diskussionsrunde auch mit ins Gespräch einbringen können. Das kann prinzipiell sehr spannend sein, ich sehe da nichts Verwerfliches dran. Im Gegensatz zu anderen, gerade bei der Jugend (noch) populären Netzwerken, sehe ich dagegen sogar sinnvolles Potential.
Dass die App und die Netzwerkstruktur dahinter technischer Müll ist, steht auf einem anderen Blatt Papier. Und wie gesagt, das Einladesystem gab es auch bei den von mir genannten Beispielen, lange bevor sie populär wurden.
KitKat::new()
Rear Admiral
- Registriert
- Okt. 2020
- Beiträge
- 5.869
Ja eben genau den Einladesystemen, welche den Haben-Will-Reiz auslösen, weil man ja unbedingt auch dazugehören will 😀MaverickM schrieb:
Brandkanne
Lt. Commander
- Registriert
- Okt. 2010
- Beiträge
- 1.305
Zum Glück fühle ich (1989) mich zu alt für sowas. ¯\(ツ)/¯
Rayman2200
Ensign
- Registriert
- Mai 2005
- Beiträge
- 197
Hat sich jemand mal den Beitrag aus der Redaktion durchgelesen und Gedanken gemacht was da so geschrieben steht? Angefangen bei dem vom Autor interpretierten Text aus der Quelle vom Spiegel?
1. Download von Daten möglich
Die angeblichen Daten sind öffentlich einsehbar und jemand hat die URL der API rausbekommen und kann diese Daten im Batch Verfahren abfragen. WOW. Ihr werdet es nicht glauben, aber das kann man auf jedem Portal machen wo Nutzer ihre Daten öffentlich hinterlegen. Sogar hier im Forum steht das Beitrittsdatum, der Nickname und alle Beiträge eines Nutzers öffentlich zum Abgreifen da. Zwar nicht schön über ne API aber nen Webcrawler kriegt das schon hin, nicht wahr Google?
2. Auskunftsfreudiger Server
3. Gespräche einfach mitschneiden
Richtige Sicherheitslücke die ich sehen konnte ist, das nicht ablaufende Token. Aber da ran zu kommen wird schwer. Ich vermute das die API per https kommuniziert und Nutzer die ihr Phone Rooten oder Jailbreaken sind sich dem Risiko bekannt, das Software die Rootrechte erlangt, schaden anrichten kann und eigentlich alles mitschneiden kann. Da hat man dann andere Probleme.
Nervig ist auch das Sperren der Accounts, aber das ist wohl bei mehreren Anwendungen ein Problem. Hier hilft nur IP Sperre, die man aber mit nem Cluster an Rechnern wohl auch aushebeln kann.
Naja unterm Strich eine App, gesichert wie fast jede andere Anwendung. Hier hat wohl nur jemand Langeweile gehabt und dachte sich, machen wir heute mal Clubhouse fertig. Viral wird das wie ne Bombe einschlagen. Fast so spektakulär wie der Schwerz mit "500.000 nVidia Karten im Container gefunden". Das schön zeigt das viele Journalisten einfach ohne ihr Hirn einzuschalten, irgend nen Mist kopieren anstatt sich Gedanken zu machen was da steht.
1. Download von Daten möglich
Die angeblichen Daten sind öffentlich einsehbar und jemand hat die URL der API rausbekommen und kann diese Daten im Batch Verfahren abfragen. WOW. Ihr werdet es nicht glauben, aber das kann man auf jedem Portal machen wo Nutzer ihre Daten öffentlich hinterlegen. Sogar hier im Forum steht das Beitrittsdatum, der Nickname und alle Beiträge eines Nutzers öffentlich zum Abgreifen da. Zwar nicht schön über ne API aber nen Webcrawler kriegt das schon hin, nicht wahr Google?
2. Auskunftsfreudiger Server
Falls das jemand nicht nachvollziehen kann was der Autor hier meint, hier der Auszug aus dem Spiegel der nicht kaputtinterpretiert wurde.
Die Milchmädchenrechnung ist dabei das Beste. Man nehme Wahrscheinlichkeitstheorie, ohne sich Gedanken zu machen. Setzt hier und da paar Zahlen ein und sorgt für staunen. Ich wette dieser "Sicherheitsexperte" oder Troll wie ich ihn eher bezeichnen würde, bekommt keinen einzigen Account gehackt. Bruteforce bei einer Pin-Sperre von 15 versuchen? Geht der davon aus, dass jeder 667 Nutzer z.B. eine Pin zwischen 0000-0014 hat?
3. Gespräche einfach mitschneiden
Ja klar, die Clubhouse Nutzer sind dafür bekannt ihre IPhones zu Jailbreaken um ganz einfach Gespräche aufzuzeichnen. Einfach mal eben nen Jailbreak. Wenn jemand vor hat Gespräche einfach aufzuzeichnen, dann nutzt er ein Diktiergerät und wird dafür nicht extra "umständlich" sein IPhone Jailbreaken.
Richtige Sicherheitslücke die ich sehen konnte ist, das nicht ablaufende Token. Aber da ran zu kommen wird schwer. Ich vermute das die API per https kommuniziert und Nutzer die ihr Phone Rooten oder Jailbreaken sind sich dem Risiko bekannt, das Software die Rootrechte erlangt, schaden anrichten kann und eigentlich alles mitschneiden kann. Da hat man dann andere Probleme.
Nervig ist auch das Sperren der Accounts, aber das ist wohl bei mehreren Anwendungen ein Problem. Hier hilft nur IP Sperre, die man aber mit nem Cluster an Rechnern wohl auch aushebeln kann.
Naja unterm Strich eine App, gesichert wie fast jede andere Anwendung. Hier hat wohl nur jemand Langeweile gehabt und dachte sich, machen wir heute mal Clubhouse fertig. Viral wird das wie ne Bombe einschlagen. Fast so spektakulär wie der Schwerz mit "500.000 nVidia Karten im Container gefunden". Das schön zeigt das viele Journalisten einfach ohne ihr Hirn einzuschalten, irgend nen Mist kopieren anstatt sich Gedanken zu machen was da steht.
F
foo_1337
Gast
Finde das ganze auch ziemlich lustig. Die meisten Rooms da sind ohnehin öffentlich und ob das Ganze nun jemand mitschneidet oder nicht ist egal. Ich war heute in einem Raum, bei dem Thelen und ein paar andere moderiert haben. Da waren viele hundert, wenn nicht tausend, anwesende. Wer das Ding nutzt, um geheime Dinge zu besprechen, hat den Sinn der App nicht verstanden.
Das Problem von den meisten Conferencing Apps wenn mehrere Teilnehmer gleichzeitig sprechen ist hier übrigens nicht existent. Hitzige Diskussionen klappen da sehr gut. Wäre schön, wenn sich Teams, Zoom, Jitsi & Co hier orientieren würden.
Das Problem von den meisten Conferencing Apps wenn mehrere Teilnehmer gleichzeitig sprechen ist hier übrigens nicht existent. Hitzige Diskussionen klappen da sehr gut. Wäre schön, wenn sich Teams, Zoom, Jitsi & Co hier orientieren würden.