Heute sind wir ganz am Zeitgeist und schauen uns das Sprachi-Netzwerk Clubhouse an. Es gab bereits einige Kritik am Datenschutz (tagesschau.de/wirtschaft/clu…) und Exklusivität.
Der Großteil des Kontakt zum Server wird über eine REST-Api abgewickelt. Hier ist Clubhouse wiederspänstiger als viele andere Apps und implementiert Certificate Pinning. Dann holen wir mal das gejailbreakte Telefon heraus.
Sobald man einen Raum startet verbindet sich die Clubhouse-App mit zwei weiteren Diensten: Pubnub und Agora. Pubnub wird für die Echtzeitkommunkation genutzt, Agora für den Audiochat. Screenshot eines Mitschnitt...
Agora hat ein öffentliches SDK (leider nicht open source), dann laden wir das nochmal herunter. Downloadseite des Agora SDKs
Bei Agora gibt es 2 Arten einen Videochatraum zu betreten. Entweder nur mit dem Namen, für "low-security"-Anwendungen wie Staubsauger (itcareersholland.nl/call-an-exorci…), oder für "high-security"-Anwendungen wie öffentliche Gespräche mit Namen und einem Token.
Clubhouse nutzt Tokens. Dieses Token wird serverseitig generiert, bei Clubhouse bekommen wir dieses wenn wir den "join_channel"- oder "create_channel"-Endpoint aufrufen. Antwort eines Create Channe...
Oh, wenn wir join_channel aufrufen, taucht die*der Nutzer*in bereits im Raum auf und wir als gemutet angezeigt. Dabei haben wir noch garnicht probiert, den Agora-Audio-Kanal zu öffnen. Naja dann probieren wir das doch gleich mal.
Super, 10 Zeilen code und der Ton läuft. Wir können die anderen hören. Mal schauen, was das SDK so für Methoden bietet...
Wie praktisch, es gibt "startAudioRecording" um eine Aufnahme zu starten. Wir können uns sogar aussuchen, in welcher Qualität die Aufnahme passieren soll. SDK-Dokumentation zu startA...
Hinweis: Wir finden es nicht okay, einfach so nicht-öffentliche Gespräche aufzuzeichen. Wenn Politiker*innen aber als Mandatsträger*innen (semi-)öffentlich sprechen, *kann* es für uns ein berechtigtes Interesse geben das nachzuvollziehen.
Okay, dann verlassen wir den Raum mal wieder. Die App ruft dazu "leave_channel" auf. Wenn wir das tun, verschwinden wir bei den anderen im Raum auch sofort aus der Raumübersicht in der App. Nur ein Problem: Erfolgreicher Aufruf eines ...
Wir sind in Agora immernoch im Raum und hören die anderen weiterhin. Auch eine neue Aufzeichnung können wir ohne Probleme starten. Alles ohne, dass uns die Anderen sehen.
Wir können uns sogar erneut verbinden. Auf die Schnelle konnten wir in der Dokumentation von Agora keine Möglichkeit finden, ein Raum-Token zu wiederrufen.
Dafür haben wir einen spannende Methoden gefunden: Man kann sich den Ton nach Nutzer*in getrennt geben lassen. So können gezielt einzelne Personen mitgeschnitten werden. Dokumentation von einer Met...
Praktischerweise werden in Agora die gleichen Nutzer*innen-Ids verwendet wie in Clubhouse, sodass wir das ganze sogar automatisch Nutzer*innen zuordnen können.
Fazit: Wir sehen also, dass es möglich ist fast unerkannt Gespräche auf #Clubhouse aufzuzeichnen.

Dies zu finden hat nur wenige Stunden gedauert, wer weiß, was da noch im Argen liegt
Nachtrag: Scheinbar konnte man im November auch mal die Profile aller Nutzer*innen abfragen.

Wir haben den Thread mal in einen Blogartikel gepackt, damit er besser lesbar und verlinkbar wird: „Gespräche aus dem brennenden Clubhouse tragen“ zerforschung.org/posts/gespraec…

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with zerforschung

zerforschung Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @zerforschung

5 Oct 20
„Lass mich mal eben nachgucken was für eine GPU das in diesem 50 Zoll Fernseher genau ist… Ah natürlich.“

*bindet sich Fernseher um Arm* Screenshot ARM-Website: &qu...
Außerdem behauptet die Javascript Battery API auch der Akku des Fernsehers wäre im Zustand "charging"
So sieht bei uns übrigens coronakonformes Remote-zerforschen von Fernsehgeräten aus. Sein Stativ mit einem Telef...
Read 37 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!