Unsichere Gesprächs-App Clubhouse bietet Hackern zahlreiche Angriffsmöglichkeiten

Ein Hamburger Sicherheitsexperte hat dem SPIEGEL eine Reihe von Schwachstellen in der App Clubhouse demonstriert. Sie erlauben es, Nutzer gezielt auszusperren, massenhaft Daten abzufragen und zufällige Konten zu kapern.
Könnte sicherer sein: Clubhouse

Könnte sicherer sein: Clubhouse

Foto: Christoph Dernbach / dpa

Clubhouse steckt, was seinen Umgang mit Daten angeht, gleich in mehreren Grauzonen. Das sagen Juristen und Datenschützer , die sich erstens daran stören, dass die App der Stunde den Zugriff auf alle Kontakte im iPhone verlangt, damit man selbst weitere Bekannte einladen kann. Und zweitens daran, dass Clubhouse offenbar Schattenprofile von Kontakten anlegt, die in den hochgeladenen Adressbüchern stehen, aber selbst der App noch gar nicht beigetreten sind.

Es fehle an Informationen für die Betroffenen, zitiert »t3n« den Berliner IT-Rechtler Martin Schirmbacher, und ob es eine Opt-out-Funktion gibt, sei nicht erkennbar. Der Hamburger Datenschutzbeauftragte Johannes Caspar sagte dem »Handelsblatt« sogar , der Dienst sei »offenkundig nicht in der Lage«, die in Europa geltenden Vorgaben zum Schutz der Privatsphäre einzuhalten.

Aber nicht nur der Datenschutz, auch die Datensicherheit bei Clubhouse ist mindestens ausbaufähig. Das demonstrierte der Hamburger IT-Sicherheitsexperte Thomas Jansen  dem SPIEGEL, nachdem er die Clubhouse-App innerhalb eines Tages untersucht und eine Reihe von Angriffen durchgespielt hat.

Jansens Erkenntnisse lassen sich so zusammenfassen: Clubhouse hat dem Thema Datensicherheit bisher nicht die höchste Priorität eingeräumt. An mehreren Stellen verzichtet die Firma auf den Einsatz bewährter Verfahren, die vor unbefugten Zugriffen und auch Angriffen schützen würden. Der Schaden, den jemand deshalb anrichten könnte, ist allerdings überschaubar. Jansen selbst sagt: »Die App stellt nicht viele Funktionen zur Verfügung, diese sind aber oft unzureichend abgesichert.«

Clubhouse-Gespräche mitschneiden

Es geht damit los, dass Jansen im Code der App eine Möglichkeit gefunden hat, Clubhouse-Gespräche, an denen man teilnimmt, in bestmöglicher Qualität mitzuschneiden. Die integrierten Software-Bibliotheken machen es möglich, auch wenn die Benutzeroberfläche der App solche Aufnahmen nicht vorsieht. Es genügt ein iPhone mit einem Jailbreak, um auf die Funktionen der Bibliotheken zugreifen zu können.

Die Botschaft an thüringische Ministerpräsidenten  und andere Nutzer lautet also: Ein neben das Smartphone gelegtes Aufnahmegerät ist keineswegs die einzige Möglichkeit, Clubhouse-Gespräche heimlich aufzuzeichnen.

Daten aller Clubhouse-Mitglieder herunterladen

Weiter geht es damit, dass es bei der massenhaften Abfrage von Nutzerdaten über die Schnittstelle der App (API) erst spät zu einer Drosselung kommt. Jansen konnte einige Tausend Anfragen an den Server stellen, bevor er für einige Minuten gebremst wurde. Er schätzt, dass er etwa ein Wochenende bräuchte, um das Verzeichnis aller derzeit rund 2,8 Millionen Nutzerinnen und Nutzer unbemerkt herunterzuladen.

Im Datensatz enthalten wären dann zwar nicht deren Handynummern, immerhin aber ihre Nutzernamen, Namen, Profilbilder und Selbstbeschreibungen, ihre Followerzahlen, das Datum der Registrierung und gegebenenfalls auch hinterlegte Twitter- und Instagram-Accountnamen, wie Screenshots von Jansen belegen. Diese Daten sind für alle, die einen Clubhouse-Account haben, zwar ohnehin sichtbar, aber nur einzeln pro Nutzerkonto. Jansen könnte zudem auch sehen, wer wen wann zu Clubhouse eingeladen hat.

Der Server gebe außerdem »bereitwillig Auskunft darüber, ob sich der Besitzer einer bestimmten Mobilfunknummer schon bei Clubhouse registriert hat, ob für die Nummer eine Einladung besteht oder ob sie dem System komplett unbekannt ist«, sagt Jansen. Ein Screenshot, den er dem SPIEGEL zeigte, beweist das.

Ausgeloggte Nutzer am Einloggen hindern

Wer die Handynummer eines Mitglieds kennt, kann die Person – sofern sie gerade nicht ausgeloggt ist – aus der Ferne für 15 Minuten aussperren, oder einfach so lange, wie das Störer-Script weiterläuft. Jansen demonstrierte das am Beispiel des Accounts eines SPIEGEL-Redakteurs. Jener Redakteur bekam beim Versuch, sich einzuloggen, eine Fehlermeldung angezeigt. Dem Opfer hilft in solchen Situation möglicherweise nur noch der Support weiter, und das kann dauern.

Potenziell problematisch ist die Entscheidung von Clubhouse, jeder Nutzerin und jedem Nutzer bei der Registrierung einen einmaligen, niemals ablaufenden, immer aktiven Token zuzuordnen. Der Token ist sozusagen die digitale Eintrittskarte. Wer sie hat, kontrolliert das zugehörige Konto, auch ohne Zugriff auf das Smartphone des Kontoinhabers. Sollten die Token jemals zugänglich werden, etwa durch eine Fehlkonfiguration der Datenbank, könnte jemand alle Accounts darin kapern. So etwas muss nicht passieren, kommt bei Online-Diensten aber immer mal wieder vor.

Zufällige Accounts kapern

Das konkreteste Angriffsszenario ist nach Jansens bisherigen Erkenntnissen aber die Übernahme zufälliger Accounts. Das funktioniert so: Bei der Anmeldung erhalten Nutzerinnen und Nutzer eine vierstellige PIN aus Zahlen, es gibt also 10.000 mögliche Kombinationen. 15 Versuche hat man für die Eingabe des richtigen Codes, bevor ein Konto gesperrt wird. Abgefragt wird die PIN bei der Neuinstallation der App oder auch beim Anmelden von einem neuen Gerät aus.

Weil Jansen massenhaft prüfen konnte, welche Nummern Clubhouse schon kennt, konnte er durch die Anfrage von einer Million zufälligen Mobilfunknummern »nach weniger als sechs Minuten 1221 Nummern extrahieren, die bei Clubhouse registriert sind«, wie er sagt. Bei einer vierstelligen Zahlen-Pin und 15 möglichen Versuchen pro Account kann per Brute Force (dem Durchprobieren aller Möglichkeiten) im Durchschnitt jeder 667. Account übernommen werden: 10.000 durch 15. Bei rund 1220 validen Handynummern alle sechs Minuten ließe sich also alle 160 Sekunden irgendein Account übernehmen.

Warum sollte das jemand tun? Die Stimme insbesondere einer prominenten Person kann schließlich kaum jemand überzeugend nachahmen, die Benutzung des gekaperten Accounts wird allein dadurch schwierig. Aber Jansen kann sich mehrere Motive vorstellen: Manche Menschen würden so etwas »for the lulz« machen, also aus Spaß. Da sich die Profilnamen, -Bilder, Selbstbeschreibungen und andere Elemente ändern lassen, könnten Vandalen dies beispielsweise für Propaganda oder rufschädigende Darstellungen nutzen.

Und weil Clubhouse-Einladungen laut Jansen derzeit auf Ebay für zehn bis 30 Euro gehandelt werden, der sofortige Zugang ohne Umweg über die Warteliste also gefragt ist, ließe sich mit einem übernommenen Account – jedenfalls bis zu dessen Sperrung – vielleicht sogar etwas Geld verdienen.

Sein Vorgehen wurde bemerkt

Thomas Jansen will Clubhouse nicht kontaktieren. Seiner Erfahrung nach reagieren Firmen zu selten und zu zögerlich auf entsprechende Warnungen. Weil im Rahmen der sogenannten »responsible disclosure« üblicherweise 90 Tage Zeit für Verbesserungen gewährt werden, bevor Schwachstellen öffentlich diskutiert werden können, hält er diesen Prozess angesichts der aktuellen Popularität und des schnellen Wachstums der App für wenig sinnvoll.

Immerhin wurde einer von Jansens Testaccounts nach seiner Analyse gesperrt, sagt er: Sein Vorgehen ist also nicht unbemerkt geblieben.

Clubhouse hat auf eine SPIEGEL-Anfrage erst nach der gesetzten Frist geantwortet. In der Antwort heißt es, die Privatsphäre der Nutzerinnen und Nutzer und die Datensicherheit hätten höchste Priorität. Wer möchte, dass seine Daten gelöscht werden, solle eine E-Mail an support@clubhouse.com  senden. Eine Möglichkeit, sein Profil selbst zu löschen, soll »in den kommenden Wochen« eingeführt werden. Clubhouse werde zudem – ebenfalls in den kommenden Wochen – ein sogenanntes Bug-Bounty-Programm einführen, in dessen Rahmen Sicherheitsforscher bezahlt werden, wenn sie der Firma Sicherheitslücken melden. Bis dahin könnten sich Experten »mit Fragen« an security@joinclubhouse.com  wenden.

Hinweis: In einer früheren Version dieses Artikels hieß es, bei einer vierstelligen Zahlen-Pin und 15 möglichen Versuchen pro Account kann per Brute Force im Durchschnitt jeder 333. Account übernommen werden. Die Rechnung war falsch, es ist jeder 667. Account. Wir haben die Passage korrigiert und danken einem aufmerksamen Leser für den Hinweis.