Die Audio-Plattform Clubhouse, die nur mit Einladung zugänglich ist, hat in Deutschland einen großen Hype ausgelöst und steht in den App-Store-Charts ganz oben – in nur wenigen Wochen stieg die Benutzeranzahl von 600.000 auf 10 Millionen Nutzer. Aus guten aber auch aus eher unerfreulichen Gründen ist die Clubhouse-App momentan in aller Munde. Bei aller Begeisterung über die neue App, kann leicht übersehen werden, welche Bedrohungen Clubhouse für die Privatsphäre und sogar für die Wallets darstellen kann.
Was ist Clubhouse?
Falls Sie den Hype verpasst haben: Clubhouse ist eine Audio-only-App mit sogenannten „Räumen“, in denen sich Menschen live unterhalten können. Zur vollständigen Registrierung ist ein Einladungslink, bzw. eine Einladung (Invite) von einem bereits registrierten Benutzer erforderlich. Die Benutzer können selbst entscheiden, ob Sie einfach nur dem Gespräch zuhören oder selbst aktiv daran teilhaben möchten. Einer der ersten renommierten Fans von Clubhouse war Elon Musk, der Ende Januar mit seinem Tweet großes Interesse am Service der audiobasierten Social-App auslöste. Darauf folgten Mark Zuckerberg, Drake und andere Promis. Eine solche Werbung ist von unschätzbarem Wert und das Publikum von Clubhouse wurde zunehmend größer.
Da die App allerdings bisher nur in der Beta-Version verfügbar ist und Betrüger kontinuierlich Ausschau nach neuen Social-Media-Kanälen halten, aus denen sie Profit schlagen können, kann bei dieser App leider von einwandfreier Sicherheit nicht die Rede sein.
Die andere Seite von Clubhouse
Clubhouse hat nicht nur einen Hype ausgelöst, sondern auch eine Menge Verwirrung gestiftet. Als Elon Musk bekannt gab, dass er dieses soziale Netzwerk benutzt, kauften Anleger massenhaft Aktien. Ärgerlicherweise kam es zu einer Verwechslung, denn die Anleger kauften Aktien von der Clubhouse Media Group, eine Unternehmensgruppe die gar nichts mit der App zu tun hat. Das „richtige“ Clubhouse ist bisher noch nicht an die Börse gegangen.
Clubhouse ist aktuell nur für iPhone verfügbar. Das hat die Fans der App aber nicht davon abgehalten, das Projektmanagement-Tool Clubhouse.io in Google Play herunterzuladen. Als die Benutzer ihren Fehler bemerkten, begannen sie die Seite des Tools mit wütenden Bewertungen zu füllen. Das ging so weit, dass die Entwickler die App eine Zeit lang nicht mehr im Google Store zum Download zur Verfügung stellten.
Diese Vorfälle, auch wenn sie nicht besonders erfreulich sind, bedeuten allerdings keine Bedrohungen für Clubhouse-Benutzer. Leider sind in Google Play aber auch einige eklatante Fake-Clubhouse-Apps zu finden. Benutzer von Smartphones und Tablets, die diese Art von Apps installiert haben, laufen Gefahr Cyberverbrechern den Zugriff auf ihre Passwörter für Online-Banking und die sozialen Netzwerke zu gewähren, sowie auf ihre Kontaktlisten und möglicherweise werden die Benutzer auch mit aggressiver Pop-up-Werbung bombardiert.
Android-Benutzer, die gerne die App herunterladen möchten, bleibt erstmals nichts anderes übrig, als die Website von Clubhouse im Auge zu behalten und auf die Bekanntmachung zu warten, ab wann die offizielle App in Google Play erhältlich ist.
Mangelnder Datenschutz bei Clubhouse
Da Clubhouse aktuell nur in der Beta-Version erhältlich ist, sollte die App eigentlich nur von wenigen Personen verwendet werden, um Bugs schneller erkennen und beheben zu können. Bei der riesigen Benutzeranzahl von Clubhouse ist es also kein Wunder, dass mehrere Fehler im Sicherheitssystem der App aufgetaucht sind.
Obwohl Clubhouse erst vor Kurzem herausgebracht wurde, mussten Experten schon mehrmals davor warnen, dass die App den Datenschutz nicht gewährleisten kann. Mitte Februar bemerkten Forscher des Stanford Internet Observatory (SIO), dass Benutzer- und Chatroom-IDs im Klartext an Server übermittelt wurden. Die SIO-Forscher wiesen darauf hin, dass Clubhouse die Backend-Infrastruktur vom chinesischen Start-up Agora nutzt und dass Agora wahrscheinlich Zugriff auf die Rohdaten der Benutzer hat. Diese Aussage wurde bisher allerdings weder bestätigt noch bestritten.
Nur wenige Tage nach der Bekanntgabe der SIO-Studie wurden auf Twitter Gerüchte über gestohlene Audioaufnahmen veröffentlicht und Clubhouse bestätigte das Datenleck kurz darauf. Ein Benutzer hatte es offensichtlich geschafft Inhalte aus der App auf seiner eigenen Website zu streamen. Clubhouse gab keine detaillierte Erklärung zu diesem Vorfall ab, aber erläuterte, dass es sich in diesem Fall nicht um einen Hackerangriff handelt, sondern um eine Datenschutzverletzung. Nachdem dem Übeltäter der Zugriff auf die App verwehrt wurde, versprachen die Entwickler den Bug zu beheben. Es ist allerdings schwer zu sagen, wie viele weitere Sicherheitslücken sich noch in der Software befinden, schließlich reden wir von einer Software dessen Entwicklung noch nicht einmal vollständig abgeschlossen ist.
Die SIO-Forscher erwähnten auch, dass eine technisch versierte Person den Code der App mühelos herausfinden kann. Ein Entwickler aus Sankt Petersburg bewies dies in der Praxis, indem er einen inoffiziellen Clubhouse-Kunden für Android innerhalb von einem Tag entwickelte. Das sind Gründen genug, um sich als Clubhouse-Benutzer Gedanken darüber zu machen, welche Sicherheitslücken möglicherweise noch im Code versteckt sind.
Hacken ist nicht erforderlich
Nach der Registrierung in der App, wird der Benutzer gebeten den Zugriff auf seine Kontaktliste zu erlauben. Lehnt der Benutzer ab, kann er keine weiteren Personen in das soziale Netzwerk einladen. Möchte ein Benutzer alle Funktionen von Clubhouse verwenden, bleibt ihm nichts anderes übrig, als der App diese Erlaubnis zu erteilen. In der Datenschutzrichtlinie wird außerdem darauf hingewiesen, dass Clubhouse sich das Recht vorbehält, diese Daten an eine recht umfangreiche Anzahl von Dritten weiterzugeben, von externen Dienstleistern über Marketingbüros bis hin zu Strafverfolgungsbehörden.
Die App bietet noch nicht einmal einen Inkognito-Modus, d. h. jede Aktion, die in der App ausgeführt wird, hinterlässt Spuren. Auf der App-Oberfläche ist auch kein Button zu finden, über den das Konto gelöscht werden kann. Möchte ein Benutzer sein Konto löschen, ist hierfür eine schriftliche Anfrage erforderlich.
Darüber hinaus bietet Clubhouse keine zuverlässige Kontoverifizierung, also kann man sich in dieser App mühelos als jemanden anderen ausgeben. Clubhouse-Benutzer sind bereits u. a. auf einen gefälschten Brad Pitt hereingefallen. Dieser Art von Nachahmung kann auf den ersten Blick als ein harmloser Streich betrachtet werden, aber es kann schlimmer kommen: Betrüger haben sich schon seit eh und je echte und gefälschte Konten von Promis zunutze gemacht – denken Sie nur an die zahlreichen Bitcoin-Betrüge auf Twitter.
Man kann nicht allem glauben, was einem zu Ohren kommt und Clubhouse ist keine Ausnahme. Wenn bekannte Stimmen für ein interessantes Projekt werben, ist es ratsam die Daten anhand von Quellen zu prüfen, auf die Sie sich ganz sicher verlassen können.
Tipps und Empfehlungen
- Zum Zeitpunkt der Veröffentlichung dieses Blogbeitrags war Clubhouse noch nicht für Android verfügbar, meiden Sie also Fake-Apps auf Google Play.
- Denken Sie daran, dass Clubhouse den Datenschutz und die Privatsphäre Ihrer Audios und Aktionen nicht gewährleisten kann. Teilen Sie nur Informationen auf dieser App, die Sie auch ohne Weiteres veröffentlichen könnten.
- Bevor Sie neue Apps installieren, denken Sie darüber nach, ob Sie die App wirklich brauchen. Wenn ja, denken Sie auch darüber nach, ob es nicht sinnvoll wäre noch etwas zu warten, bis die Fehler der 0.1- oder Beta-Version vollständig behoben sind.
- Führen Sie vor der Installation jeglicher App eine gründliche App-Recherche durch – informieren Sie sich über die Entwickler, welche Zugriffsrechte erlaubt werden müssen, mit wem Ihre Daten geteilt werden usw.
- Seien Sie auf der Hut – Betrüger finden immer wieder neue Methoden, um Benutzer abzuzocken. Wir werden weiterhin darüber berichten. Schauen Sie also öfters hier vorbei, um auf dem Laufenden zu bleiben und vermeiden Sie es zum Protagonisten unseres nächsten Blogbeitrags zu werden.
- Statten Sie Ihre Geräte mit einer zuverlässigen Sicherheitslösung aus, die Malware direkt blockiert, einschließlich Apps, die als Clubhouse für Android getarnt sind.