Clubhouse & Co.: Trend Micro erörtert Sicherheit audio-basierter Apps

Hype um neue Social-Media-App Clubhouse ungebrochen

[datensicherheit.de, 25.02.2021] „Sie haben noch keine Einladung bekommen? Der Hype um die neue Social-Media-App ,Clubhouse‘ ist ungebrochen“, meldet Trend Micro. Zwar gebe es bislang noch keine „Android“-Version, doch die Zahl der Nutzer steige beträchtlich. Der Mitgründer und „CEO“ von Trend Micro, Paul Davison, beziffert die wöchentlich aktiven Nutzer demnach auf zwei Millionen – die Zahl der registrierten Nutzer sei Schätzungen zufolge sogar dreimal so groß. „Doch wie steht es um die Sicherheit der Audio-only-App?“

Potenzieller Schaden bei Clubhouse & Co. wesentlich größer als bei Telefonkonferenzen

„Zwar überschneiden sich manche Sicherheitsrisiken audio-basierter Social-Media-Apps mit denjenigen der klassischen Telefonkonferenz, doch fällt der potenzielle Schaden bei ,Clubhouse & Co.‘ wesentlich größer aus“, so Davison.
Durch die hohe Teilnehmerzahl steige die Menge gefährdeter Daten und verbreitete Falschinformationen könnten einfach Tausende von Menschen erreichen“, warnt Udo Schneider, „IoT Security Evangelist Europe“ bei Trend Micro.

Foto: Trend Micro

Udo Schneider: Durch hohe Teilnehmerzahl steigt Menge gefährdeter Daten

Clubhouse, HearMeOut und „Audlist“ mit einigen Sicherheitsrisiken verbunden

Audio-basierte Social-Media-Apps, wie „Clubhouse“, „HearMeOut“ oder „Audlist“ erfreuten sich bei Nutzern großer Beliebtheit, seien jedoch mit einigen Sicherheitsrisiken verbunden. Cyber-Kriminelle machten sich diese zunutze, indem sie mit zumeist automatisierten Angriffen einfach und schnell auf die Schwachstellen im System zielten.
Zwar überschnitten sich manche Sicherheitsrisiken audio-basierter Social-Media-Apps mit denjenigen der klassischen Telefonie, doch falle der potenzielle Schaden bei „Clubhouse & Co.“ wesentlich größer aus – „bedenkt man, dass allein bei ,Clubhouse‘ bis zu 5.000 Personen einen Raum betreten können“, so Schneider. Durch die hohe Teilnehmerzahl steige die Menge gefährdeter Daten und verbreitete Falschinformationen könnten einfach Tausende von Menschen erreichen.

Warnung vor folgenden Sicherheitslücken bei Clubhouse & Co.

Die Recherchen seien vom 8. bis 11. Februar 2021 durchgeführt worden. Zum Zeitpunkt der Veröffentlichung könnten einige der beschriebenen Probleme von den App-Anbietern behoben worden sein. Die Forschungsergebnisse von Trend Micro zeigen mach eigenen Angaben unter anderem folgende Sicherheitslücken:

• Abhören von privaten Informationen:
  Indem ein Angreifer den Netzwerkverkehr analysiert, sieht er, wer mit wem spricht. Darüber hinaus automatisieren Angreifer diesen Prozess und können sensible Informationen eines privaten Chats abhören.
• Identitätsbetrug und „Deepfake Voice“:
  Angreifer nehmen eine falsche Identität an und können die Fake-Person durch das Klonen der Stimme beliebige Aussagen treffen lassen.
• Aufnahmen für opportunistische Zwecke:
  Stimmaufnahmen können im Rahmen eines Identitätsbetrugs dazu genutzt werden, Benutzerkonten zu klonen, den Ruf des ursprünglichen Sprechers zu schädigen oder betrügerische Vertragsabschlüsse durchzuführen.
• Belästigung und Erpressung:
  Abhängig von der Struktur der App haben Angreifer die Möglichkeit etwas zu sagen oder vorab aufgezeichnetes Audio-Material zu streamen, mit dem sie das Opfer erpressen. Dies läuft mittlerweile automatisiert ab, indem Cyber-Kriminelle passende Skripte erstellen.
• Erkaufte Follower:
  Unseren Forschungen zufolge ist es angeblichen Entwicklern möglich, die API (Application Programming Interface) zurückzuentwickeln, um einen Bot im Austausch für eine Einladung zu erstellen. So können beispielsweise Follower hinzugekauft werden.
• Verdeckte Audiokanäle:
  Cyber-Kriminelle können verdeckte Kanäle für C&C-Server erstellen oder Informationen innerhalb von digitalen Objekten verstecken oder übertragen.

Apps wie Clubhouse derzeit ohne Prozess zur Konto-Verifizierung

„Um sicher in den neuen Sozialen Medien unterwegs zu sein, empfehlen wir ein paar wichtige Grundregeln. Da immer die Möglichkeit bestehe, dass jemand Sie im virtuellen Raum aufnimmt oder abhört, treffen Sie nur Aussagen, die Sie auch abseits der digitalen Welt in der Öffentlichkeit treffen würden!“
Apps wie „Clubhouse“ hätten derzeit keinen Prozess zur Konto-Verifizierung: „Überprüfen sie daher immer doppelt ob Biografie, Benutzername und verknüpfte Kontakte im Sozialen Netzwerk authentisch sind. Gewähren Sie darüber hinaus nur notwendige Berechtigungen und verweigern Sie der App zum Beispiel, dass sie auf alle Daten in ihrem Adressbuch zugreifen kann!“

Weitere Informationen zum Thema:

TREND MICRO, Federico Maggi, 24.02.2021
Cyber Threats / Security Risks for Audio-centric Social Media Apps

datensicherheit.de, 23.02.2021
Clubhouse: Data Breach bei Social-Media-Plattform / Satnam Narang kommentiert Sicherheitslücken in boomender Clubhouse-App