Clubhouse stuurde metadata onversleuteld door

Audiochatapp Clubhouse stuurde data onversleuteld door naar servers, zo bevestigt moederbedrijf Alpha Exploration na onderzoek van Stanford Internet Observatory. Een fix moet dat probleem oplossen.

De metadata zat in pings naar servers die de snelste route moeten bepalen om het verkeer te leiden, meldt Clubhouse in een statement aan Stanford Internet Observatory. Het zou daarbij gaan om een klein percentage van het totale dataverkeer dat loopt via Clubhouse-servers. Clubhouse belooft een snelle fix van het probleem: maandag zou het probleem al opgelost moeten zijn.

In packets stond het user-id en de id's van Rooms waar die gebruikers in zaten in plaintext en die gingen via udp naar een server toe van back-endleverancier Agora. Agora levert de sdk waar Clubhouse gebruik van maakt. Agora biedt back-enddiensten voor realtimechatten via audio en video.

Volgens SIO is Agora als deels Chinees bedrijf verplicht te voldoen aan de Chinese wetten rond data en daardoor kan de Chinese overheid vermoedelijk via verzoeken inzicht krijgen in de data van de servers van het bedrijf. Het is onlogisch dat de Chinese staat via verzoeken toegang wil krijgen tot servers in de VS, maar als die servers in China staan is dat mogelijk.

Volgens Clubhouse ging data vermoedelijk over Chinese servers, nadat Chinese gebruikers de app hadden geïnstalleerd. Clubhouse is officieel niet in China verkrijgbaar. De Chinese staat blokkeerde het gebruik van de app vorige week.

Agora heeft volgens SIO ook toegang tot de sleutels van de encryptie. Dat zou alleen niet zo zijn als Clubhouse end-to-end encryptie gebruikt, maar dat is momenteel hoogstwaarschijnlijk niet het geval. SIO heeft dataverkeer van Clubhouse gemonitord via toepassingen als Wireshark.

Clubhouse is een audiochatapp die afgelopen maanden snel aan populariteit heeft gewonnen. De app, die alleen op iOS draait, biedt gebruikers de mogelijkheid om te spreken en te luisteren naar gesprekken van anderen in Rooms. De populariteit van de app begon in Silicon Valley, maar inmiddels zijn er ook een aantal Nederlandse gebruikers.

Reacties (37)

Croga

15 februari 2021 07:25

Och, dit is slechts een druppel op de gloeiende plaat van de farce die Clubhouse heet.

De app gaat in tegen alle databeveiligingswetten. Slaat gegevens van europeanen zonder toestemming op op servers in de VS, verplicht gebruikers de data van derden te uploaden zonder enige beveiliging en ik ben er heilig van overtuigd dat er nog tientallen andere overtredingen begaan worden.

Deze club interesseert zich niet voor beveiliging, noch voor wetgeving daar omheen. De enige reden dat de app überhaupt nog bestaat is de logheid van de instanties die hier op toe moeten zien.

[edit]Ik was de bron nog aan het zoeken. @JumpStart was me voor. Zie https://www.linkedin.com/...er-heard-alexander-hanff/
Lees voor de grap ook eens het stuk waar jij, als gebruiker van het platform, verantwoordelijk bent voor de databreach van dat platform. Ofwel: Zodra jij, als gebruiker, op zoek gaat naar je eigen contacten op Clubhouse ben je strafbaar...... Lekker platform

[Reactie gewijzigd door Croga op 22 juli 2024 14:23]

DigitalExorcist @Croga • 15 februari 2021 07:29

Heb je daar bronnen voor of roep je maar wat willekeurigs?

JumpStart @DigitalExorcist • 15 februari 2021 07:39

Lees dit stuk maar eens: https://www.linkedin.com/...er-heard-alexander-hanff/

DigitalExorcist @JumpStart • 15 februari 2021 08:41

Staat aan het begin al een grove fout in:

In fact just today the Norwegian Privacy Regulator issued a notice to Grindr of intent to fine them 10 million Euros for (in part) requiring people to provide consent to processing which is not strictly necessary in order to access the service. This a big pile of No No in the EU.

- Noorwegen zal geen boetes in Euro's uitdelen want het is geen Euroland, en ze hebben niks met de EU te schaften want Noorwegen *zit* niet in de EU.

Verder:
- E2EE is een middel en geen doel op zich.

Voor de rest.. tsja.. het zal allemaal wel. Je kan je super duper druk maken over de 'noodzaak' van het delen van je adresboek (die 'zoek mijn vrienden'-functies bij alle apps, incl. LinkedIn waar meneer op post) zijn erg handig voor de eindgebruiker en nog véél handiger voor de producent van die software.

Weet je wie dat óók heeft, zo'n functie? Signal. Ik krijg wekelijks wel een berichtje dat persoon <x> of <y> zich aangemeld heeft bij Signal. Hoe weet Signal dit als je data beschermd wordt? "Ergens" moet een koppeling bestaan tussen wie Signal gebruikt, en de data in mijn adresboek op mijn telefoon. Die telefoon verzint niet zélf wie Signal gebruikt, ergens wordt die link gelegd.

En élk bedrijf dat zaken doet met Amerika, of je nou een Amerikaans bedrijf bent of niet (!) moet zijn data inzichtelijk hebben voor de Amerikaanse overheden. Ook als je alleen maar producten verkóópt aan Amerika moet je al aan strikte regels voldoen anders mag je je spul niet exporteren.

Dat praat het niet goed wat Clubhouse doet, maar dat nuanceert wél het beeld dat zij uitzonderlijk zouden zijn.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 14:23]

JumpStart @DigitalExorcist • 15 februari 2021 08:48

Staat aan het begin al een grove fout in:

[...]

- Noorwegen zal geen boetes in Euro's uitdelen want het is geen Euroland, en ze hebben niks met de EU te schaften want Noorwegen *zit* niet in de EU.

Nee, sorry, dat heb JIJ grof fout. Noorwegen zit namelijk wél in de European Economic Area (EEA) en heeft de GDPR opgenomen in haar eigen wetgeving. Zie https://easygdpr.eu/2017/...norway-personal-data-act/

Weet je wie dat óók heeft, zo'n functie? Signal. Ik krijg wekelijks wel een berichtje dat persoon <x> of <y> zich aangemeld heeft bij Signal. Hoe weet Signal dit als je data beschermd wordt? "Ergens" moet een koppeling bestaan tussen wie Signal gebruikt, en de data in mijn adresboek op mijn telefoon. Die telefoon verzint niet zélf wie Signal gebruikt, ergens wordt die link gelegd.

Dat is afhankelijk van hoe dat geïmplementeerd is. Een app kan toegang krijgen tot jou lokale adresboek, en (gehashte) telefoonnummers van nieuw aangemelde gebruikers ontvangen op jou telefoon en op jou device vergelijken met (gehashte) nummers in jou lokale adresboek voor een match. Er hoeft niet per sé iets van jou telefoon uit richting externe servers. Maar Clubhouse upload blijkbaar gewoon jou hele adresboek als jij iemand een uitnodiging wilt sturen. Dat is niet per sé wat Signal of WhatsApp doet.

"Allow access to address book" is niet hetzelfde als "Share address book".

[Reactie gewijzigd door JumpStart op 22 juli 2024 14:23]

JumpStart @DigitalExorcist • 15 februari 2021 09:11

Of Noorwegen nou wel of niet in de EU zit (nee dus) en of ze wel of niet in de EEA zitten (dat doen ze wel) en of ze nou wel of niet de GDPR implementeren (dat doen ze wél, de Noorse Personal Data Act roept middels een clausule de volledige GDPR aan als appendix) maakt niet uit. En nee, de boete zal niet in Euro's uitgedeeld zijn, maar in Noorse kronen, maar ook dat maakt voor het punt dat de auteur wil maken niet uit.

Het LinkedIn artikel gebruikt een voorbeeld waarbij Grindr, toevallig in Noorwegen maar dit had ook elders kunnen zijn, onder noemer van de GDPR regels op de vingers is getikt omdat ze toestemming vragen om gebruik van persoonlijke gegevens terwijl die gegevens niet strikt noodzakelijk zijn voor functioneren van de app.

bwerg @DigitalExorcist • 15 februari 2021 10:02

En welk deel van het door jouw geciteerde stukje:

In fact just today the Norwegian Privacy Regulator issued a notice to Grindr of intent to fine them 10 million Euros for (in part) requiring people to provide consent to processing which is not strictly necessary in order to access the service. This a big pile of No No in the EU.

is nou daadwerkelijk fout? Er is een boete opgelegd door Noorwegen, en het is een big pile of No No in the EU.

En het punt is dat die boete is opgelegd vanwege Europese GDPR-wetgeving, die Noorwegen geïmplementeerd heeft. Dat ze dat niet verplicht waren: nou en? Hooguit had de auteur hier iets explicieter kunnen zijn maar er staan geen fouten in.

In tegenstelling is het wel ronduit fout dat Noorwegen niks met de EU te schaften heeft, volgens de uitleg van JumpStart.

Punten achter elk woord zetten maakt een zin niet ineens relevant.

ATS @DigitalExorcist • 15 februari 2021 08:52

Staat aan het begin al een grove fout in:
[...]
- Noorwegen zal geen boetes in Euro's uitdelen want het is geen Euroland, en ze hebben niks met de EU te schaften want Noorwegen *zit* niet in de EU.

De boete is 100 miljoen kronor. Maar zoals gebruikelijk rekent iedereen dat om, omdat lang niet iedereen weet wat een (Noorse) kronor waard is. Zoek eens op "grindr norway" en je krijgt direct resultaten met deze boete in US dollar, in euro, in pounds... Nou nou, wat een enorme grote fout.

bdbfz @DigitalExorcist • 15 februari 2021 09:21

Weet je wie dat óók heeft, zo'n functie? Signal. Ik krijg wekelijks wel een berichtje dat persoon <x> of <y> zich aangemeld heeft bij Signal. Hoe weet Signal dit als je data beschermd wordt? "Ergens" moet een koppeling bestaan tussen wie Signal gebruikt, en de data in mijn adresboek op mijn telefoon. Die telefoon verzint niet zélf wie Signal gebruikt, ergens wordt die link gelegd.

Ik pas jouw redenering even toe op een ander proces:
"Ik krijg bij het inloggen op mijn PC een berichtje of mijn wachtwoord juist of fout is. Hoe weet mijn PC dat, als mijn wachtwoord niet cleartext wordt opgeslagen? "Ergens" moet dat wachtwoord langs de kant van de PC opgeslagen zijn. Die PC verzint niet zelf of mijn wachtwoord juist is, ergens wordt die link gelegd."

Om maar te zeggen dat er cryptografische manieren zijn om dubbel-blind te communiceren. In het geval van wachtwoorden zijn dat hashes, in het geval van Signal zijn is dat hun private contact discovery algoritme. Als je dat algoritme niet vertrouwt, is dat jouw keuze, maar je moet niet gaan beweren dat het allemaal niet afgeschermd _kan_ zijn, gewoon omdat het werkt.

killerfreak @DigitalExorcist • 15 februari 2021 09:36

Weet je wie dat óók heeft, zo'n functie? Signal. Ik krijg wekelijks wel een berichtje dat persoon <x> of <y> zich aangemeld heeft bij Signal. Hoe weet Signal dit als je data beschermd wordt? "Ergens" moet een koppeling bestaan tussen wie Signal gebruikt, en de data in mijn adresboek op mijn telefoon. Die telefoon verzint niet zélf wie Signal gebruikt, ergens wordt die link gelegd.

Dat verzint jouw telefoon wel (deels) zelf

https://support.signal.or...my-number-to-my-contacts-

Mfpower @DigitalExorcist • 15 februari 2021 09:02

Signal heeft een complex algoritme genaamd Private Contact Discovery. Zie ook: https://signal.org/blog/private-contact-discovery/
Aangezien het open source is kun je het verifiëren zo nodig.
Hierdoor kent Signal jouw contacten niet itt Whatsapp bijvoorbeeld.
Ze gebruiken daarvoor een SGX enclave:

An SGX enclave on the server-side would enable a service to perform computations on encrypted client data without learning the content of the data or the result of the computation.

Ynst2003 @DigitalExorcist • 15 februari 2021 09:20

Dat iedereen er maar van uit gaat dat ánderen de code wel checken, en niemand overzicht over het gehéél heeft en de samenhang tussen allerhande andere onderdelen.

klopt inderdaad. Het is vervelend dat veel open-source lui dat niet willen snappen. Begrijp me niet verkeerd, ik ben zéér pro open-source, maar als een 'evil actor met geld' kwaad wil, dan is het relatief gemakkelijk om zoiets jaren lang in de code te laten staan.

Voorbeeldje is
https://www.reuters.com/a...rsa-idUSBREA2U0TY20140331

svsoke @Ynst2003 • 15 februari 2021 11:11

RSA is inderdaad al vrij lang lek voor de Amerikaanse veiligheidsdiensten, maargoed, dat weten we ook al sinds hun inceptie want RSA komt bij hun vandaan. Hoewel het open source is, als iemand geen design documents (dus hoe iemand op dit ontwerp is gekomen) aanlevert klopt het dat het overzicht vaak niet gehouden wordt in Open Source Software, of opzettelijk wordt onthouden (zoals RSA).

Waar er te kort door de bocht geschoten wordt is een verschil tussen closed source en open source ontwikkeling te zien als een intrinsiek andere werkwijze: waarom zou ik software A en B anders ontwikkelen, alleen omdat de ene op Github staat of op een private corporate server? In beiden gevallen hangt het 100000% af van de opzet van het project, waar ik input wil krijgen van anderen/collega's.

@Ynst2003 Begrijp me niet verkeerd, je hebt gelijk met een 'evil actor met geld' kan zeker kwaad doen met OSS, maar hetzelfde geld voor Closed Source Software.... Om eerlijk te zijn, dat geld voor alles. Kijk maar naar de huidige amerikaanse politiek, openlijk evil personen wordt de hand boven het hoofd gehouden want geld.

Ynst2003 @svsoke • 15 februari 2021 11:35

tuurlijk. Maar vaak het is argument 'het is beter/veiliger' omdat het open-source is en daarom zitten er geen/weinig (opzettelijke?) fouten in.
Ik denk inderdaad dat dat voor een groot deel klopt. Het is natuurlijk veel gemakkelijker om (opzettelijke) fouten uit open-source software dan uit niet open-source projecten. Maar om nu te doen alsof het de heilige graal is en perfect is (geen persoonlijke aanval, maar algemeen statement), vind ik overdreven.

svsoke @Ynst2003 • 15 februari 2021 11:44

Mee eens, het feit dat ik in OSS kan kijken of ik wat vind maakt de mogelijke veiligheid groter, niet de daadwerkelijke

Het punt wat ik vooral wilde tegengaan is dat @DigitalExorcist claimed (tenminste, zo leest het) dat OSS projecten geen project management hebben of ontworpen worden, net als elk ander software project. Intrinsiek verschil is wie input KAN geven, genoeg OSS projecten die geen change requests aanvaarden en alles lekker zelf blijven doen.

Mfpower @DigitalExorcist • 15 februari 2021 09:06

Misschien moet je de link even lezen, dan zie je dat ook dat probleem is opgelost.

jdh009

Websites en community's

@JumpStart • 15 februari 2021 18:48

@Joost
Is dit iets wat aansluit bij jullie NOS op 3 Tech Podcast van afgelopen week? De keerzijde van de medaille van deze app.

[Reactie gewijzigd door jdh009 op 22 juli 2024 14:23]

blorf @Croga • 15 februari 2021 07:55

Lijkt me duidelijk. Het controleren wat je app naar buiten stuurt en in welke vorm "vergeten" wijst daar volledig op

lasharor @Croga • 15 februari 2021 08:50

Dit hoeft helemaal niet?

Ik heb een profiel aangemaakt, iemand heeft mij vervolgens genomineerd en ik heb toegang tot de app. Vervolgens kan je inderdaad je contactpersonenlijst uploaden maar, dit is niet verplicht. De app blijft wel zeuren maar werkt ook prima zonder dat je die functionaliteit gebruikt.

Voor de rest is het wel een grappig concept, ik vergelijk het beetje met een live podcast waarbij je ook af en toe zelf wat mag/kan zeggen. Vooral in de kamers die goed gemodereerd worden kan er wel een interessante discussie ontstaan.

Plompie @Croga • 15 februari 2021 09:33

Lees voor de grap ook eens het stuk waar jij, als gebruiker van het platform, verantwoordelijk bent voor de databreach van dat platform. Ofwel: Zodra jij, als gebruiker, op zoek gaat naar je eigen contacten op Clubhouse ben je strafbaar...... Lekker platform

Dat is volgens mij bij FB niet anders als je targeted campagne start (dat je als klant verantwoordelijkheid neemt voor claims ipv FB).

Croga

@Plompie • 15 februari 2021 09:48

Er zijn wel een paar hele duidelijke verschillen;

Bij Clubhouse; als je mensen wilt vinden die je kent dan moet je gegevens over die mensen delen met het platform.

Bij Facebook; als je een targeted campagne wilt starten geef je aan aan welke eigenschappen de targets moeten voldoen en doet Facebook de rest op basis van gegevens die die mensen zelf gedeelt hebben.

Dus nee, er is eigenlijk geen enkele overeenkomst tussen die twee. De eerste gaat keihard in tegen de AVG en is in principe strafbaar, die tweede heeft, voor de initiator, niets met de AVG te maken.

MazeWing

15 februari 2021 07:22

Typisch dat je dit soort berichten; dat de achterliggende beveiliging niet helemaal op orde is, zo vaak hoort bij apps die in korte tijd zeer populair worden en snel groeien.

Supermario16 @MazeWing • 15 februari 2021 08:07

Laten we eerlijk en transparant zijn: data beveiliging en het inbouwen van privacy concepten is duur, erg duur! Het gaat niet alleen om de technische kennis, maar ook om kennis over, bijvoorbeeld, de GDPR/AVG en al haar lokale varianten (en geloof me, die zijn er een aantal). Hier heeft een start-up die zijn product waarde aan het valideren is geen tijd en geld voor. Dit is bijna een "natuurlijk" verschijnsel. Hiermee praat ik het echter niet goed.

Ook start-ups zullen hier een oplossing voor moeten vinden willen ze zichzelf beschermen voor dit soort schandalen, anders zou het ze zelfs de kop kunnen kosten voordat ze daadwerkelijk beginnen. Hierdoor zou het probleem zich uiteindelijk, als we meer van dit soort berichten zien, zichzelf ook op moeten lossen

supersnathan94 @Supermario16 • 15 februari 2021 08:23

Ja tuurlijk. Echter gebruikt Clubhouse een framework voor chatapps van Agora. Daar zouden dergelijke dingen juist gewoon default in moeten zitten.

svsoke @supersnathan94 • 15 februari 2021 11:14

Dit dus, al die startups worden gebouwd op basis van een bestaand framework, om zo de snelheid hoog te kunnen houden. Helaas zit in 99% van de frameworks geen security by default maar moet je het zelf allemaal installeren/configureren/opzetten/inwikkelen/draaien/bedenken.

Let op, ik claim niet dat frameworks geen security features hebben, dat hebben ze allemaal wel. Wat ik zeg is dat ze geen goeie security opzet als standaard bieden.

Butsnik @MazeWing • 15 februari 2021 09:25

Dit is dan ook een van de dingen die de lean startup beweging propageert. Zet zo snel mogelijk een product in de markt, zodat je van het gedrag van je gebruikers kan leren. Dingen als beveiliging, winstmodel, etc.. komen later.

dez11de 15 februari 2021 07:29

Volgens SIO is Agora als deels Chinees bedrijf verplicht te voldoen aan de Chinese wetten rond data en daardoor kan de Chinese overheid vermoedelijk via verzoeken inzicht krijgen in de data van de servers van het bedrijf.

Nogal voor de hand liggend? Dit is ook zo in Nederland, Europa, Rusland, Amerika en ik vermoed Iran en Noord Korea.

NielsFL @dez11de • 15 februari 2021 08:01

Dus mag een onderzoeker het niet nog eens benoemen?

China blokkeert de app omdat er vrijelijk over Chinese politiek gesproken kan worden en deze snel in populariteit toe nam. Dat was eind vorige week het nieuws.

Als je dat weet, en je vind vervolgens privacy risico’s, dat is het toch logisch dat je dat in context zet lijkt me.

Ik zit zelf op de app, en ondanks de blokkade, zijn er nog altijd enorm veel Chinese rooms. Ik hoop van harte dat al deze mensen de risico’s nu kennen en niet in de problemen komen.

Fluttershy @dez11de • 15 februari 2021 07:37

Jawel maar "onze" datahonger is vanwege liefde, gerechtigheid en puppies & kittens. "Hun" datahonger is slecht en kwaad en duivels.

DigitalExorcist 15 februari 2021 07:26

Ik wacht nog op m’n activatiecode. Geen idee of het wat is... maar het idee klinkt leuk.

i-chat @DigitalExorcist • 15 februari 2021 08:52

Ik vind het vooralsnog een behoorlijke tegenvaller

Het is feitelijk een soort podcast die je niet kunt terugluisteren

De meeste rooms zijn panel discussies in bepaalde (voornamelijk amerikaanse) elite groepjes

Ook is het in veel grote rooms onmogelijk om goed bij te houden wie wanneer wat heeft gezegd zodat inhoudelijk reageren lastig is als je de persoon niet direct onderbreekt

Ik voorzag een soort interactieve tedtalks maar dat bleek minder realistisch

Je mist daarvoor gewoon te veel tools zoals
Transcriptie, speakerlog, slides sharing/ notities, polls en votes / quizzes

Om er maar enkelen te noemen

Ik begin me steeds meer af te vragen Waarom niet gewoon iets als mumble

[Reactie gewijzigd door i-chat op 22 juli 2024 14:23]

Artz @i-chat • 15 februari 2021 10:19

Nog meer meningen die de wereld ingeslingerd worden. Hadden we nog niet genoeg platformen voor.

DigitalExorcist @i-chat • 15 februari 2021 08:55

Lijkt me heerlijk, een gesprek voeren zónder dat iedereen je onderbreekt. Juist hét grote pluspunt. Netjes je vinger opsteken en wachten tot je aan de beurt bent, zo hebben we het vroeger ook geleerd.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 14:23]

Op dit item kan niet meer gereageerd worden.

Clubhouse stuurde metadata onversleuteld door

Lees meer

Reacties (37)

Sorteer op:

Weergave: