Zum hauptinhalt springen

zerforschung

Clubhouse mag dein Telefonbuch wirklich gern

This article was also published in english.


tl;dr: Jedes mal, wenn man das Invite-Tab öffnet, werden alle Telefonnummern aus dem Adressbuch hochgeladen.


Clubhouse ist aktuell invite-only, was vermutlich einen Teil des aktuellen Hypes ausmacht. Um eine Person einzuladen muss man Clubhouse Zugriff auf das eigenene Adressbuch geben. Dies wurde bereits mehrfach kritisiert. Es gab viel Diskussion, wie Clubhouse diese Adressbuch-Daten nutzt. Wir haben uns angeschaut, wie Clubhouse das Adressbuch verwendet und wie es besser ginge.

Invites bei Clubhouse

Nachdem man sich bei Clubhouse registriert hat, fragt Clubhouse direkt nach Zugriff auf das Adressbuch. Diesen muss man spätestens dann gewähren, wenn man Freund*innen einladen will.

Invite Button in der Clubhouse-App

Invite Button in der Clubhouse-App

Nach einem Klick auf den Invite-Button sendet Clubhouse alle Telefonnummern, die im eigenen Adressbuch stehen an ihre Server um herauszufinden, welche der eigenen Kontakte eingeladen werden können und welche bereits bei Clubhouse angemeldet sind.

Adressbuch-Upload und Antwort des Servers

Adressbuch-Upload und Antwort des Servers

Hierbei werden keine Namen übertragen, sondern nur die reinen Telefonnummern. Allerdings hat Clubhouse Zugriff auf diese Daten und könnte diese in Zukunft nutzen ohne, dass Nutzer*innen dies merken könnten.

Als Antwort liefert der Server eine Liste aller Telefonnummern, die man einladen kann oder die bereits auf Clubhouse angemeldet sind.

Das ganze passiert aber nicht nur beim ersten Zugriff auf den Invite-Tab, sondern wird bei jedem Aufruf des Tabs wiederholt. So hat Clubhouse theoretisch ab dem Zeitpunkt der Anmeldung eine komplette History über die Kontakte und weiß theoretisch auch, welche Personen ich wahrscheinlich erst vor kurzem kennen gelernt habe.

Alternativen

Dieses Vorgehen ist aus Datenschutzgründen höchst bedenklich, insbesondere da Clubhouse sich weitreichende Nutzungsrechte an den hochgeladenen Kontaktdaten einräumt. Zudem lässt sich so ein versteckter Social Graph erzeugen, der auch Kontakte umfasst, die gar nicht bei Clubhouse angemeldet sind und auch den Nutzungsbedingungen nie zugestimmt haben.

Bitte Update 2 beachten.

Dabei gäbe es andere Möglichkeiten, zum Beispiel verwendet Signal ein kompliziertes Verfahren um sicher zu stellen, dass die Server keinen dauerhaften Zugriff auf die Kontaktdaten haben.

Auch wäre es möglich, einen Abgleich nur über Hashwerte der Telefonnummern durchzuführen, wie es auch die saarländische Datenschutzbehörde fordert. Dies vermeidet zwar die Übertragung der Telefonnummern, verhindert aber nicht, dass ein versteckter Social Graph über Nutzer:innen erstellt werden kann. Auch die Problematik, dass dieser Graph auch Menschen einbeziehen kann, die nicht bei Clubhouse angemeldet sind, und die den Nutzungsbedingungen nie zugestimmt haben bleibt beim Hashing bestehen.

Update 1: Hashing

Da es bereits Feedback gab (danke Matthias): Hashing ist kein ausreichender Schutz.1, 2 Da es relativ wenige mögliche Telefonnummern gibt, können diese einfach durchprobiert werden. Da die saarländische Datenschutzbehörde dieses Verfahren ins Spiel brachte wollten wir es nicht unerwähnt lassen.

Update 2: Wie es besser geht.

Datensparsame contact discovery ist schwer. Allerdings braucht Clubhouse das gar nicht, denn es gibt keine Funktion in Clubhouse, um Kontakte anhand ihrer Telefonnumer zu finden. Auch auf der Invite-Seite wird zwar bei Kontakten aus dem Adressbuch angezeigt, wenn sie bereits auf Clubhouse sind aber es gibt keine Möglichkeit direkt ihr Profil aufzurufen.

Statt das Adressbuch hochzuladen könnte die App also zum Beispiel:

  1. nur lokal alle Kontakte anzeigen, ohne diese an den Server zu schicken. Erst nachdem auf “Einladen” gedrückt wurde, wird beim Server abgefragt, ob an diese spezifische Telefonnummer eine Einladung geschickt werden kann.

  2. auf ein anderes Invite-System umstellen. So wie viele andere Apps könnte Clubhouse Tokens erzeugen, die man bei der Anmeldung angeben muss oder Invite-Links erzeugen. Bereits jetzt wird man nach der Einladung aufgefordert, der eingeladenen Person eine Nachricht schicken. In dieser Nachricht könnte ein kurzer Invite-Code enthalten sein, mit dem man sich dann registrieren kann. Dafür wäre dann gar kein Zugriff auf das Adressbuch notwendig.

  3. Komplett auf Telefonnummern verzichten. Telefonnummern werden in Clubhouse nur zum Login verwendet, in der App dann nirgenwo. Stattdessen könnten sogar nur Nutzer*innen-Namen und Passwort verwendet werden.


  1. https://dl.gi.de/handle/20.500.12116/16294 ↩︎

  2. https://www.heise.de/downloads/18/2/9/7/0/4/5/9/preprint.pdf ↩︎