Zum hauptinhalt springen

zerforschung

Schlagwort: api

Scoolio – Kellerbesichtigung des Grauens

Einige Menschen haben Leichen im Keller, andere haben einen Datenabfluss im Keller
Dieser Artikel ist der erste Teil der “Back-To-School-Serie”.

Über manche Menschen sagt man, sie hätten Leichen im Keller. Sie haben Geheimnisse, von denen niemand erfahren soll. Bei der App scoolio ist das anders: Die App schafft es gerade nicht, Geheimnisse für sich zu behalten. E-Mail-Adressen von Schüler*innen, ihr aktueller Standort, Schule, Klasse – alles abrufbar im Netz.

Wenn der Keller also so bequem zugänglich ist, machen wir uns doch auf den Weg und betrachten die sperrangelweit offenen Türen. Kommt mit auf die Reise – Stockwerk für Stockwerk in den Keller.

Gorillas: Special offer - unicorn slices, 150g 🦍❤️

Gorillas Advertising with the slogan 'Just going check gorillas one more time, then I will put the phone away... oh nice, cinnamon buns' but 'cinnamon buns' is replaced with 'data'

We felt more like “Oh fuck, Databreach”

During the pandemic, grocery delivery services gained popularity. New players on the market offer delivery in under an hour. One of them is Gorillas, which not only delivers apples and granola bars in 10 minutes, but just as quickly delivered the data of all its customers.

How could this happen? Unfortunately, it was once again much too simple. But let’s start at the beginning:

Gorillas: Einhornaufschnitt, 150g, im Angebot 🦍❤️

Gorillas Werbeplakat mit dem Slogan 'Noch einmal Gorillas checken, dann lege ich das Handy wirkl... geil, Zimtschnecken' Zimtschnecken ist durchgestrichen und durch 'Daten' ersetzt

Naja, eigentlich eher “Oh fuck, Daten”

Supermarkt-Lieferdienste sind in der Pandemie sehr beliebt. Neben den Klassikern sind jetzt Dienste neu im Spiel, die in unter einer Stunde liefern. Einer davon ist Gorillas – hier bekam man nicht nur die bestellten Äpfel und Müsliriegel in 10 Minuten, sondern genauso schnell auch die Daten aller Kund*innen.

Wie das passieren konnte? Leider mal wieder viel zu einfach. Hier die ganze Geschichte von vorne:

Dive – Use with Hackphones

Abgewandelter Dive Slogan 'Use with Hackphones'

Vor einiger Zeit haben wir uns bereits Clubhouse angeschaut.
Nun gibt es einen neuen, bislang sehr exklusiven deutschen Stern am Audio-Chat-Himmel: Dive – dieser Klon von Clubhouse legt laut Gründer*innen besonders großen Wert auf Datenschutz.

Nachdem ein Zerforschungsmitglied eine Einladung für Dive bekommen hat, haben wir routinemäßig mal in den Datenverkehr geschaut und leider schon wieder Schlimmes gefunden. Nur so viel schonmal: Viel besser als Clubhouse ist das nicht.

Deine Kundendaten – geliefert in 10 Minuten

Deine Daten geliefert in 10 Minuten. We are Flink

Kennt ihr Flink? Das ist eins der neuerdings auftauchenden Startups, die Einkäufe nach Hause liefern. Produkte in der App wählen, bezahlen und in unter 10 Minuten ist ein*e Fahrradkurier*in bei euch. Dafür gab es auch vor ein paar Tagen erst ordentlich Funding.

Als wir uns die App angeschaut haben, haben wir Erschreckendes festgestellt.

No one else was in the room where it happened - den Clubhousefrieden stören

Titelbild

Was bisher geschah …

In unserem ersten Thread zu Clubhouse hatten wir uns Clubhouse erstmal nur oberflächlich angeschaut.

Dabei hatten wir gesehen, dass Clubhouse einen Dienstleister nutzt, um die Telefonie-Funktion anzubieten. Dieser Dienstleister heißt Agora.io und wird auch von vielen anderen Apps eingesetzt, unter anderem einer Therapie-App. Im Thread hatten wir u.a. festgestellt, dass wir problemlos einem Raum lauschen können, ohne den anderen Raumteilnehmer*innen angezeigt zu werden, wenn wir direkt mit Agora kommunizieren.

Umgekehrt kann man so auch in einem Raum angezeigt werden ohne zuzuhören. Das stellt allerdings eher kein Problem dar - schließlich ist man auch außerhalb von Clubhouse oft in Gesprächen anwesend ohne wirklich zuzuhören.

… und wie es weiter ging …

No one else was in the room where it happened - disturbing the clubhouse peace

Coverimage

What happened so far …

In our first thread on Clubhouse (in german) we had only taken a superficial look at Clubhouse.

We saw that Clubhouse uses an external service provider called Agora.io for the voice call functionality. Agora.io is also used by many other apps, including a therapy app. In the thread we found that, among other things, we can easily listen to a room without being displayed to the other room participants if we communicate directly with Agora.

Conversely, you can also be displayed in a room without listening. However, this is not really a problem - after all, even outside Clubhouse you are often present in conversations without really listening.

… and what happened next …

Clubhouse really likes your phone book

Dieser Artikel ist auch auf Deutsch erschienen.


tl;dr: Every time you open the invite tab, clubhouse uploads all the phone numbers from your address book.


Clubhouse is currently invite-only, which is probably part of the current hype. To invite someone you have to give Clubhouse access to your address book. This has been criticized several times. There has been a lot of discussion about how Clubhouse uses this address book data. We took a look and document how clubhouse currently uses the data from your address book and how it could be done better.

Clubhouse mag dein Telefonbuch wirklich gern

This article was also published in english.


tl;dr: Jedes mal, wenn man das Invite-Tab öffnet, werden alle Telefonnummern aus dem Adressbuch hochgeladen.


Clubhouse ist aktuell invite-only, was vermutlich einen Teil des aktuellen Hypes ausmacht. Um eine Person einzuladen muss man Clubhouse Zugriff auf das eigenene Adressbuch geben. Dies wurde bereits mehrfach kritisiert. Es gab viel Diskussion, wie Clubhouse diese Adressbuch-Daten nutzt. Wir haben uns angeschaut, wie Clubhouse das Adressbuch verwendet und wie es besser ginge.