Der Bundesverband der Verbraucherzentralen macht Nägel mit Köpfen und lässt den Betreibern der App Clubhouse eine Abmahnung nebst strafbewehrter Unterlassungserklärung zustellen. Dabei geht es zunächst um Formalia.
Bundesverband der Verbraucherzentralen mahnt Clubhouse ab
So bemängeln die Verbraucherschützer, dass die App ohne das vorgeschriebene Impressum betrieben werde und die Allgemeinen Geschäftsbedingungen sowie die Datenschutzhinweise nicht wie vorgeschrieben auf Deutsch, sondern nur auf Englisch vorlägen.
Neben den formalen Aspekten bemängelt der Bundesverband auch echte Datenschutzaspekte. So stoßen sich die Verbraucherschützer vor allem daran, dass der Clubhouse-Betreiber das Recht für sich reklamiere, die von den Anwendern hochgeladenen Kontaktinformationen aus den Adressbüchern der Smartphones umfassend – unter anderem zu Werbezwecken – zu nutzen.
Schattenprofile aus Nutzer-Adressbüchern angelegt
Dass Clubhouse die Einträge auch tatsächlich nutzt, hatten wir bei t3n vor einigen Tagen bereits berichtet. So legt Clubhouse etwa für Einträge aus dem Nutzer-Adressbuch, die keine Entsprechung im Dienst haben, sogenannte Schattenprofile an. Das sind Profile für Menschen, die zwar in den Telefonbüchern von anderen vorkommen, aber sich selbst nicht auf Clubhouse angemeldet haben.
Das sind nicht die einzigen bedenklichen Erkenntnisse aus ein paar Wochen Clubhouse in Deutschland. Verschiedene Experten haben sich die App bereits in der Tiefe angeschaut und kommen zu teils eindeutigen Empfehlungen. Für die Experten von Appvisory, einer Software-as-a-Service zum Management mobiler Geräte in Unternehmensnetzen, ist die Sache klar: Sie empfehlen, die App auf jeden Fall von Firmen-Smartphones zu verbannen und einem etwa vorhandenen dringenden Verlangen danach, die App dennoch auszuprobieren, nur auf einem Prepaid-Handy ohne Adressbucheinträge nachzukommen.
Technik zum Gesprächsmitschnitt integriert
Neben den bereits genannten negativen Aspekten fanden die Appvisory-Betreiber heraus, dass Clubhouse technisch in der Lage ist, Gespräche in jeweils bestmöglicher Qualität mitzuschneiden. Genau das hat der Hamburger IT-Sicherheitsexperte Thomas Jansen ebenfalls entdeckt und dem Spiegel berichtet.
Jansen erläutert aber, dass die Funktion keine Entsprechung in der Benutzeroberfläche habe, mithin von gewöhnlichen iPhones aus nicht aktiviert werden könnte. Dazu würde es eines Jailbreaks bedürfen. Fraglich bleibt indes, ob die Betreiber selbst zur Aktivierung in der Lage sind. Jedenfalls muss die Funktion, da sie vorhanden ist, auch transparent gemacht werden. Das tut Clubhouse bisher nicht.
Im Zusammenhang mit dem Live-Audio-Processing stellen sich weitere Fragen. Wie wir jüngst berichteten, basiert Clubhouse auf der Backend-Plattform des amerikanisch-chinesischen Live-Audio- und Video-Dienstleisters Agora.io. Welche Implikationen sich daraus ergeben, muss noch hinterfragt werden.
Schnittstelle erlaubt Auslesen des Nutzerverzeichnisses, Kapern von Accounts möglich
Als ob das alles noch nicht reichen würde, konnte Jansen eine Reihe weiterer Datensicherheitsprobleme aufdecken. So stellte der Experte etwa fest, dass die Schnittstelle des Dienstes Tausende von Anfragen zulässt, bevor sie seitens des Betreibers gedrosselt wird. Auf diese Weise würde es Jansen nach eigener Einschätzung etwa ein Wochenende kosten, um das Verzeichnis aller derzeit rund 2,8 Millionen Nutzer unbemerkt herunterzuladen. Die hohe Toleranz der Clubhouse-Schnittstelle konnte Jansen zudem dafür nutzen, zufällig Clubhouse-Accounts zu kapern.
Auf die Erkenntnisse Jansens hat Clubhouse nur verspätet und mit dem üblichen Marketing-Sprech geantwortet. Ständig in Arbeit, kommt in den nächsten Wochen, Datensicherheit hat höchste Priorität – das Übliche eben. Das könnte Raum bieten für eine deutsche Alternative zu Clubhouse. Die gibt es bereits, heißt Dive und soll alsbald offiziell starten. Deren Macher versprechen: Wir halten uns an die DSGVO!
